Исследователи ReversingLabs предупредили о новой схеме распространения вредоносного ПО через короткие видео в TikTok и Instagram*. Злоумышленники публикуют ролики, в которых обещают бесплатный доступ к Spotify Premium, Microsoft Office, Windows, Adobe и другим популярным сервисам, но вместо реальной выгоды пользователи рискуют установить на свой компьютер инфостилер.
Особенность атаки в том, что она не похожа на классический фишинг через письма или поддельные формы входа. Жертву убеждают открыть командную строку или PowerShell и самостоятельно вставить туда команду. После её выполнения на устройство загружается вредоносная программа Vidar, предназначенная для кражи данных.
Vidar относится к классу инфостилеров и собирает чувствительную информацию с заражённого компьютера. Под угрозой оказываются логины, пароли, cookies, токены сессий, данные криптовалютных кошельков и личные файлы. Для злоумышленников такой подход удобен тем, что часть действий выполняет сам пользователь, считая, что следует инструкции по активации бесплатного продукта.
Кампания строится на простой социальной инженерии. Хакеры рассчитывают на людей, которые ищут бесплатные или дешёвые версии популярных подписок и программ. Ролики в соцсетях помогают быстро привлечь аудиторию и увести её на подконтрольные атакующим сайты, где уже размещены инструкции для установки вредоносного ПО.
Опасность таких атак в том, что короткие видео выглядят менее подозрительно, чем письма с сомнительными ссылками. Пользователь может воспринимать их как обычный лайфхак или инструкцию, особенно если ролик оформлен в привычном формате популярных соцсетей. Но требование вставить неизвестную команду в PowerShell должно сразу восприниматься как тревожный сигнал.
Защититься от подобных схем помогают базовые правила цифровой гигиены. Программы и приложения стоит скачивать только с официальных сайтов и магазинов, а предложения о «бесплатном Premium» или взломанных версиях платного софта лучше игнорировать. Для важных аккаунтов также стоит включать многофакторную аутентификацию, поскольку она снижает риск захвата учётной записи даже в случае утечки пароля.
* - Instagram принадлежит Meta, деятельность компании признана экстремистской и запрещена на территории РФ.