کلاهبرداری جدید تیک‌تاک با راهنمای فعال‌سازی جعلی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، مجرمان سایبری بار دیگر تیک‌تاک را به محلی برای فریب کاربران تبدیل کرده‌اند.

در این روش جدید، هکرها ویدئوهایی منتشر می‌کنند که وانمود می‌کند راهنمای رایگان فعال‌سازی نرم‌افزارهایی مانند ویندوز، مایکروسافت 365، فوتوشاپ و حتی نسخه‌های جعلی نتفلیکس و اسپاتیفای پریمیوم هستند.

این ویدئوها که نخستین بار توسط کارشناس امنیتی «زاویه مرتنس» شناسایی شد، کاربران را تشویق می‌کند دستورات کوتاه پاورشل (PowerShell) را با دسترسی ادمین اجرا کنند.

اما این دستورها به‌جای فعال کردن نرم‌افزار، کاربر را به وب‌سایتی مخرب وصل کرده و بدافزار سارق اطلاعات آئورا (Aura Stealer) را دانلود می‌کند؛ بدافزاری که رمزهای ذخیره‌شده، کوکی‌ها، کیف‌پول‌های رمزارز و توکن‌های احراز هویت را سرقت می‌کند.

این روش یک نوع حمله کلیک فیکس (ClickFix) است؛ ترفند مهندسی اجتماعی که کاربر را قانع می‌کند با یک دستور ساده می‌تواند نرم‌افزار پریمیوم رایگان بگیرد.

حمله از طریق دامنه جعلی slmgr[.]win انجام می‌شود که فایل مخرب updater.exe را از صفحات میزبانی‌شده در کلودفلیر (Cloudflare) دریافت می‌کند.

فایل دیگر، source.exe، با استفاده از کامپایلر C# مایکروسافت کد را مستقیم در حافظه اجرا می‌کند و شناسایی آن را دشوارتر می‌سازد.

هدف دقیق این فایل دوم هنوز روشن نیست، اما الگوی آن مشابه ابزارهای سرقت رمز ارز و انتشار باج‌افزار است.

برای مقابله با چنین حملاتی، متخصصان توصیه می‌کنند هرگز دستورات پاورشل را از شبکه‌های اجتماعی اجرا نکنید و نرم‌افزارها را فقط از منابع رسمی دریافت کنید.

داشتن آنتی‌ویروس قوی، به‌روزرسانی مداوم ابزارهای امنیتی و فعال‌سازی احراز هویت چندمرحله‌ای ضروری است.

استفاده از سرویس‌های پایش و حذف داده نیز می‌تواند در صورت افشای اطلاعات، خطرات را کاهش دهد.

اگر تاکنون دستور مشکوکی اجرا کرده‌اید، فوراً تمام گذرواژه‌های خود، به‌ویژه حساب‌های ایمیل، مالی و شبکه‌های اجتماعی را تغییر دهید و از رمزهای یکتا استفاده کنید.

این حمله نشان می‌دهد هیچ «میان‌بُر رایگانی» برای فعال‌سازی نرم‌افزار وجود ندارد و اعتماد به ویدئوهای تیک‌تاک می‌تواند امنیت و دارایی کاربران را به خطر بیندازد.