Η νέα τεχνική ClickFix και οι κίνδυνοι της
Το κακόβουλο λογισμικό γνωστό ως Latrodectus έχει υιοθετήσει τη διαδεδομένη τεχνική κοινωνικής μηχανικής, γνωστή ως ClickFix, για τη διανομή του. Αυτή η τεχνική είναι ιδιαίτερα επικίνδυνη, καθώς επιτρέπει στο κακόβουλο λογισμικό να εκτελείται στη μνήμη, αντί να γράφεται στον δίσκο, μειώνοντας έτσι τις πιθανότητες ανίχνευσης από προγράμματα περιήγησης ή εργαλεία ασφαλείας.
Το Latrodectus, που θεωρείται διάδοχος του IcedID, λειτουργεί ως downloader για άλλα κακόβουλα φορτία, όπως ransomware. Πρωτοαναφέρθηκε από τις εταιρείες Proofpoint και Team Cymru τον Απρίλιο του 2024. Παράλληλα, το κακόβουλο λογισμικό υπέστη πλήγμα κατά τη διάρκεια της Επιχείρησης Endgame, η οποία εξουδετέρωσε 300 servers παγκοσμίως και 650 domains που σχετίζονται με διάφορα κακόβουλα λογισμικά.
Η εκμετάλλευση του PowerShell και οι επιθέσεις
Στις τελευταίες επιθέσεις του Latrodectus που παρατηρήθηκαν από την Expel τον Μάιο του 2025, οι ανυποψίαστοι χρήστες παραπλανώνται ώστε να αντιγράψουν και να εκτελέσουν μια εντολή PowerShell από έναν μολυσμένο ιστότοπο. Αυτή η τακτική έχει γίνει διαδεδομένη για τη διανομή ενός ευρέος φάσματος κακόβουλου λογισμικού.
Όταν εκτελείται από τον χρήστη, οι εντολές προσπαθούν να εγκαταστήσουν ένα αρχείο από έναν απομακρυσμένο URL χρησιμοποιώντας το MSIExec και να το εκτελέσουν στη μνήμη. Αυτό επιτρέπει στους επιτιθέμενους να αποφεύγουν τη γραφή του αρχείου στον υπολογιστή, μειώνοντας έτσι τις πιθανότητες ανίχνευσης από προγράμματα περιήγησης ή antivirus.
Η μετάβαση από το ClickFix στο TikTok
Η αποκάλυψη έρχεται καθώς η Trend Micro παρουσίασε λεπτομέρειες μιας νέας καμπάνιας μηχανικής που, αντί να βασίζεται σε ψεύτικες σελίδες CAPTCHA, χρησιμοποιεί βίντεο από το TikTok, πιθανώς δημιουργημένα με εργαλεία τεχνητής νοημοσύνης (AI), για να διανείμει τα κακόβουλα λογισμικά Vidar και StealC. Αυτά τα βίντεο καθοδηγούν τους χρήστες να εκτελέσουν κακόβουλες εντολές στα συστήματά τους για να ενεργοποιήσουν εφαρμογές όπως τα Windows, το Microsoft Office, το CapCut και το Spotify.
Τα βίντεο έχουν αναρτηθεί από διάφορους λογαριασμούς στο TikTok, οι οποίοι πλέον δεν είναι ενεργοί. Ένα από τα βίντεο, που υποτίθεται ότι παρέχει οδηγίες για την “άμεση βελτίωση της εμπειρίας σας στο Spotify”, έχει συγκεντρώσει σχεδόν 500.000 προβολές, με πάνω από 20.000 likes και περισσότερα από 100 σχόλια.
Η κοινωνική μηχανική και η εκμετάλλευση των χρηστών
Η καμπάνια αυτή αποτελεί μια νέα κλιμάκωση της τεχνικής ClickFix, καθώς οι χρήστες που αναζητούν τρόπους ενεργοποίησης πειρατικών εφαρμογών καθοδηγούνται λεκτικά και οπτικά να ανοίξουν το παράθυρο διαλόγου “Εκτέλεση” των Windows, να εκκινήσουν το PowerShell και να εκτελέσουν την εντολή που προβάλλεται στο βίντεο, θέτοντας τελικά σε κίνδυνο τα συστήματά τους.
Οι επιτιθέμενοι χρησιμοποιούν πλέον βίντεο στο TikTok, πιθανώς δημιουργημένα με εργαλεία AI, για να κοινωνικοποιήσουν τους χρήστες ώστε να εκτελέσουν εντολές PowerShell με το πρόσχημα της ενεργοποίησης νόμιμου λογισμικού ή της ξεκλειδώματος premium χαρακτηριστικών.
Ψεύτικες εφαρμογές Ledger για κλοπή δεδομένων
Τα ευρήματα αυτά ακολουθούν την ανακάλυψη τεσσάρων διαφορετικών καμπανιών κακόβουλου λογισμικού που εκμεταλλεύονται μια κλωνοποιημένη έκδοση της εφαρμογής Ledger Live για να κλέψουν ευαίσθητα δεδομένα, συμπεριλαμβανομένων των seed phrases, με στόχο την αφαίμαξη των πορτοφολιών κρυπτονομισμάτων των θυμάτων. Η δραστηριότητα αυτή συνεχίζεται από τον Αύγουστο του 2024.
Οι επιθέσεις χρησιμοποιούν κακόβουλα αρχεία DMG που, όταν εκτελούνται, εκκινούν το AppleScript για να εξάγουν κωδικούς πρόσβασης και δεδομένα από το Apple Notes και στη συνέχεια να κατεβάσουν μια τροποποιημένη έκδοση του Ledger Live. Μόλις ανοίξει η εφαρμογή, προειδοποιεί τους χρήστες για ένα υποτιθέμενο πρόβλημα λογαριασμού και ότι απαιτείται το seed phrase για ανάκτηση. Το εισαγόμενο seed phrase αποστέλλεται σε server ελεγχόμενο από τον επιτιθέμενο.
