هکرها با ویدیوهای TikTok بدافزارهای Vidar و StealC را از طریق تکنیک ClickFix منتشر میکنند
بدافزار Latrodectus بهتازگی از تکنیک مهندسی اجتماعی ClickFix برای توزیع استفاده کرده و به تهدیدی جدی تبدیل شده است. این تکنیک به بدافزار امکان اجرا در حافظه را میدهد، بدون نیاز به ذخیرهسازی روی دیسک، که شناسایی آن را توسط مرورگرها یا ابزارهای امنیتی دشوار میکند.
Latrodectus، که احتمالا جانشین بدافزار IcedID است، بهعنوان دانلودکننده برای محمولههای دیگر مانند باجافزار عمل میکند. این بدافزار ابتدا در آوریل ۲۰۲۴ توسط شرکتهای Proofpoint و Team Cymru شناسایی شد. در جریان عملیات Endgame، که بین ۱۹ تا ۲۲ می ۲۰۲۵ اجرا شدهاست، فعالیت این بدافزار مختل شد. این عملیات با غیرفعال کردن ۳۰۰ سرور جهانی و خنثیسازی ۶۵۰ دامنه مرتبط با بدافزارهای Bumblebee، Latrodectus، QakBot، HijackLoader، DanaBot، TrickBot و WARMCOOKIE انجام گرفت.
در موج اخیر حملات Latrodectus، که در می ۲۰۲۵ توسط شرکت Expel شناسایی شد، کاربران فریب داده میشوند تا دستور PowerShell را از یک وبسایت آلوده کپی و اجرا کنند. این روش به راهکاری رایج برای توزیع گسترده بدافزارها تبدیل شده است. اجرای این دستور باعث میشود سیستم با استفاده از ابزار MSIExec فایلی را از یک سرور راهدور دانلود و در حافظه اجرا کند، بدون ذخیرهسازی روی دیسک، که از شناسایی توسط آنتیویروسها یا مرورگرها جلوگیری میکند. نصبکننده MSI شامل نرمافزار قانونی شرکت NVIDIA است که برای بارگذاری جانبی یک فایل DLL مخرب استفاده میشود. این DLL با ابزار curl پیلود اصلی را دانلود میکند.
برای مقابله با این حملات، توصیه شده است که قابلیت اجرای برنامه Run در ویندوز از طریق Group Policy یا غیرفعال کردن کلید میانبر Windows + R در رجیستری محدود شود.
تکامل ClickFix با ویدیوهای TikTok
همزمان، شرکت Trend Micro کمپین جدیدی را گزارش کرد که بهجای صفحات جعلی CAPTCHA، از ویدیوهای TikTok، احتمالا تولیدشده با ابزارهای هوش مصنوعی، برای توزیع بدافزارهای Vidar و StealC استفاده میکند. این ویدیوها کاربران را ترغیب میکنند تا برای فعالسازی نرمافزارهایی مانند ویندوز، Microsoft Office، CapCut یا Spotify دستوراتی را اجرا کنند، که در واقع دستورات مخرب هستند.
این ویدیوها از حسابهایی مانند @gitallowed، @zane.houghton، @allaivo2، @sysglow.wow، @alexfixpc و @digitaldreams771 در TikTok منتشر شدند و هماکنون غیرفعال شدهاند. یکی از این ویدیوها، که ادعا میکرد راهکاری برای «افزایش تجربه کاربری در Spotify» ارائه میدهد، حدود ۵۰۰,۰۰۰ بازدید، بیش از ۲۰,۰۰۰ لایک و بیش از ۱۰۰ نظر دریافت کرده بود. این ویدیوها کاربران را بهصورت گفتاری و تصویری هدایت میکنند تا با فشردن Windows + R، پنجره Run را باز کرده، PowerShell را اجرا کنند و دستور نمایشدادهشده را وارد کنند، که منجر به آلودگی سیستم میشود.
این کمپین نشاندهنده تکامل تکنیک ClickFix است، که از پلتفرمهای اجتماعی محبوب برای فریب کاربران و اجرای دستورات مخرب تحت پوشش فعالسازی قانونی نرمافزار یا دسترسی به قابلیتهای پریمیوم استفاده میکند.
سرقت عبارت بازیابی با نسخه جعلی Ledger Live
این گزارشها با کشف سومین کمپین دیگر همراه شده که از نسخه جعلی نرمافزار Ledger Live برای سرقت عبارت بازیابی (seed phrase) و تخلیه کیفپولهای رمزارزی کاربران macOS استفاده میکنند. این فعالیتها از آگوست ۲۰۲۴ آغاز شدهاند.
در این حملات، فایلهای مخرب DMG اسکریپت AppleScript را اجرا میکنند تا رمزها و دادههای برنامه Apple Notes را استخراج کرده و نسخه تروجانشده Ledger Live را دانلود کنند. این برنامه جعلی به کاربر هشدار میدهد که حسابش با مشکل مواجه شده و نیاز به وارد کردن عبارت بازیابی دارد. عبارت واردشده سپس به سرور مهاجم ارسال میشود.
آزمایشگاه Moonlock گزارش داد که این اپلیکیشنهای جعلی از بدافزارهایی مانند Atomic macOS Stealer (AMOS) و Odyssey استفاده میکنند. بدافزار Odyssey در مارس ۲۰۲۵ روش فیشینگ جدیدی معرفی کرده بود. این فعالیتها با کمپین دیگری که توسط Jamf افشا شد، همپوشانی دارند. در کمپین دیگر، از باینریهای بستهبندیشده با PyInstaller برای هدفگیری کاربران Ledger Live استفاده میشد. همچنین، بحثهایی در فرومهای دارکوب نشاندهنده افزایش روشهای ضد-Ledger و آمادهسازی برای موج بعدی حملات است، که همچنان اعتماد کاربران رمزارز به Ledger Live را هدف قرار میدهد.
