Tội phạm mạng đang khai thác sức ảnh hưởng khổng lồ của TikTok để phân phối phần mềm độc hại nguy hiểm thông qua những video hướng dẫn có vẻ vô hại. Các nhà nghiên cứu bảo mật đã xác định một chiến dịch tinh vi trong đó nội dung do AI tạo ra lừa người dùng thực thi các lệnh độc hại dưới vỏ bọc mở khóa các tính năng cao cấp của phần mềm.
Chiến Dịch Lừa Đảo ClickFix
Cuộc tấn công tận dụng chiến thuật kỹ thuật xã hội được gọi là ClickFix, trong đó các video gian lận hướng dẫn người xem chạy các lệnh PowerShell được cho là sẽ kích hoạt các tính năng cao cấp trong các ứng dụng phổ biến như Spotify và CapCut. Những hướng dẫn do AI tạo ra này trông có vẻ hợp pháp và chuyên nghiệp, khiến chúng đặc biệt hiệu quả trong việc lừa gặt những người dùng không nghi ngờ. Một ví dụ đáng chú ý tuyên bố sẽ nâng cao trải nghiệm Spotify của bạn ngay lập tức đã tích lũy được gần 500.000 lượt xem và hơn 20.000 lượt thích, cho thấy quy mô đáng báo động của các nạn nhân tiềm năng.
Thống kê Chiến dịch Tấn công:
- Một video độc hại: ~500.000 lượt xem và hơn 20.000 lượt thích
- Các nền tảng mục tiêu: Spotify , CapCut , Windows , Microsoft Office
- Hệ thống bị ảnh hưởng: Chủ yếu là Windows , nhưng cũng có macOS và Linux
Tải Trọng Phần Mềm Độc Hại và Khả Năng Đánh Cắp Dữ Liệu
Khi người dùng làm theo hướng dẫn video và thực thi các lệnh được cung cấp, họ vô tình cài đặt các biến thể phần mềm độc hại đánh cắp thông tin bao gồm Vidar và StealC. Những chương trình tinh vi này được thiết kế để thu thập dữ liệu cá nhân nhạy cảm từ thông tin đăng nhập và cookie trình duyệt đến chi tiết thẻ tín dụng và thông tin ví tiền điện tử. Phần mềm độc hại Vidar còn đi xa hơn bằng cách chụp ảnh màn hình desktop, cung cấp cho kẻ tấn công quyền truy cập toàn diện vào các hoạt động kỹ thuật số của nạn nhân.
Các biến thể phần mềm độc hại đã được xác định:
- Vidar: Chụp ảnh màn hình máy tính để bàn, thu thập thông tin đăng nhập, cookie, thẻ tín dụng và ví tiền điện tử
- StealC: Nhắm mục tiêu cụ thể vào các trình duyệt web và ví tiền điện tử
Phương Thức Thực Thi Kỹ Thuật và Duy Trì
Các script PowerShell độc hại hoạt động với sự tinh vi đáng lo ngại. Một khi được thực thi, chúng tải xuống các script tải trọng bổ sung tự động khởi chạy trong quá trình khởi động thiết bị, đảm bảo quyền truy cập liên tục vào các hệ thống bị nhiễm. Phần mềm độc hại tự lưu trong các thư mục ẩn và có hệ thống xóa các thư mục tạm thời để tránh bị phát hiện bởi phần mềm bảo mật. Cách tiếp cận đa lớp này khiến việc nhiễm bệnh đặc biệt khó xác định và loại bỏ mà không có các công cụ bảo mật chuyên dụng.
Phương thức tấn công ClickFix:
- Video hướng dẫn được tạo bởi AI đăng tải trên TikTok
- Người dùng được hướng dẫn sao chép và chạy các lệnh PowerShell
- Các lệnh này tải xuống phần mềm độc hại đánh cắp thông tin
- Script thứ cấp được cài đặt để duy trì sự tồn tại
- Phần mềm độc hại ẩn trong các thư mục và xóa dấu vết
Khuếch Đại Nền Tảng và Khai Thác Thuật Toán
Thuật toán dựa trên tương tác của TikTok vô tình khuếch đại những chiến dịch độc hại này bằng cách thúc đẩy các video có tỷ lệ tương tác cao. Hệ thống đề xuất của nền tảng có thể nhanh chóng phân phối nội dung có hại đến hàng triệu người dùng trên toàn thế giới, biến cơ chế viral thành vũ khí cho tội phạm mạng. Điều này đại diện cho một thách thức cơ bản khi các tính năng nền tảng hợp pháp trở thành vector cho hoạt động độc hại.
Chiến Lược Bảo Vệ và Thực Hành Tốt Nhất
Các chuyên gia bảo mật khuyến nghị một số biện pháp phòng thủ để tránh trở thành nạn nhân của những âm mưu này. Người dùng không bao giờ nên thực thi lệnh hoặc tải xuống phần mềm dựa trên hướng dẫn từ các nguồn mạng xã hội chưa được xác minh. Tất cả phần mềm hợp pháp nên được lấy độc quyền từ các trang web chính thức và các nhà phân phối được ủy quyền. Ngoài ra, việc duy trì hệ điều hành cập nhật với các bản vá bảo mật mới nhất cung cấp sự bảo vệ quan trọng chống lại các lỗ hổng đã biết mà những cuộc tấn công này có thể khai thác.
Tác Động Rộng Lớn Hơn Đối Với Bảo Mật Mạng Xã Hội
Chiến dịch này đại diện cho một phần của xu hướng lớn hơn khi tội phạm mạng ngày càng nhắm mục tiêu các nền tảng mạng xã hội phổ biến để tiếp cận các nạn nhân tiềm năng. Các cuộc tấn công dựa trên TikTok trước đây đã bao gồm các chương trình tặng tiền điện tử giả sử dụng công nghệ deepfake và phân phối phần mềm độc hại thông qua các thử thách viral. Sự kết hợp của nội dung do AI tạo ra và chiến thuật kỹ thuật xã hội tạo ra những thách thức mới cho cả người dùng và các nhóm bảo mật nền tảng trong việc xác định và ngăn chặn hoạt động độc hại.