Thought Leadership
Cyberkriminelle nutzen Videos für kostenloses Spotify Premium auf TikTok, um Schadsoftware zum Diebstahl von Passwörtern und Krypto-Wallets zu verbreiten.
Sicherheitsforscher von ReversingLabs warnen vor Kampagnen, die gezielt virale Kurzvideos einsetzen, um Schadsoftware auf Social Media zu verbreiten. Anstatt klassischer Phishing-E-Mails verbreiten die Akteure vermeintliche Anleitungen und Hacks auf TikTok und Instagram Reels, die den Zuschauern kostenlose Software-Aktivierungen oder Upgrades versprechen. Zu den beworbenen Inhalten gehören kostenlose Mitgliedschaften für Spotify Premium sowie Freischaltungen für Windows, Microsoft Office, Word oder Adobe Premiere. Die betrügerischen Konten tarnen sich oft mit offiziellen Logos und Profilnamen wie windows.tips, um bei den Anwendern Vertrauen aufzubauen. Durch den Einsatz von passenden Hashtags und Algorithmus-Optimierungen erreichen einzelne Videos mehr als 100.000 Aufrufe.
Die Bedrohungsanalystin Zaria Vuksan von ReversingLabs erklärte zu der Vorgehensweise: „Diese Kampagnen, die in erster Linie auf TikTok und Instagram Reels durchgeführt werden, nutzen dieselbe Vorlage, um Videos in Massenproduktion herzustellen und regelmäßige Beiträge zu veröffentlichen.“ Die Forscher identifizierten zwei unterschiedliche Strategien. Neben direkt produzierten Tutorials nutzen die Angreifer auch Interaktions-Köder (Engagement Bait). Dabei zeigen Videos vermeintlich freigeschaltete Funktionen und fordern neugierige Zuschauer in den Kommentaren auf, nach dem Weg zu fragen. Die Antworten der Angreifer leiten die Opfer dann auf präparierte Zweit-Webseiten weiter.
Infostealer wird über Windows PowerShell aktiviert
Bei der direkten Methode werden die Anwender in den Videos Schritt für Schritt dazu angeleitet, einen bestimmten Befehl zu kopieren und in die Windows PowerShell einzugeben, um die Premium-Funktionen freizuschalten. Da viele technisch weniger versierte Nutzer die Tragweite von Befehlszeilen-Anweisungen nicht einschätzen können, vertrauen sie den visuellen Anweisungen. Die Ausführung des PowerShell-Befehls startet jedoch im Hintergrund den Download einer Schadsoftware namens Vidar Infostealer. Dieser Schadcode wurde erstmals im Jahr 2018 dokumentiert und ist darauf spezialisiert, unbemerkt Daten zu sammeln und an Server der Angreifer zu übermitteln.
Hackerabwehr auf TikTok schwierig
Die Sicherheitsfirma Malwarebytes hat den Funktionsumfang des Vidar-Infostealers analysiert. Sobald das Programm auf einem Endgerät aktiv ist, exfiltriert es systematisch folgende Datenkategorien:
- Browserdaten wie gespeicherte Passwörter, Cookies, Autofill-Informationen und Daten zur Zwei-Faktor-Authentifizierung
- Systeminformationen über das infizierte Gerät und die installierte Software
- Anmeldedaten und Benutzernamen für installierte Applikationen und Dienste
- Private Schlüssel und Wallet-Daten für verschiedene Kryptowährungen
Die Sicherheitsforscher betonen, dass die Abwehr dieser Angriffe auf Social-Media-Plattformen schwierig ist, da Ersteller von Videos Warnungen in den Kommentaren löschen und kritische Nutzer blockieren können. Zum Schutz vor diesen Kampagnen wird dringend davon abgeraten, Befehle aus unbekannten Quellen in der PowerShell oder im Terminal auszuführen. Zudem sollten Software-Downloads und Abonnements ausschließlich über die offiziellen Kanäle der jeweiligen Anbieter abgeschlossen werden.
(red)
