Фишинг в TikTok и Reels: вредоносные видео и стиллер Vidarstealer

Phishing через TikTok и Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) Reels: как злоумышленники используют short-form video для распространения вредоносного контента

Недавний анализ показал тревожную тенденцию: злоумышленники все активнее используют платформы social media, в частности TikTok и Instagram Reels, как векторы для phishing attacks. В центре кампаний — короткие видео, замаскированные под обучающие материалы и обещающие доступ к “free premium” software, чтобы убедить пользователей перейти на вредоносные сайты.

На первый взгляд такой контент выглядит правдоподобно: злоумышленники делают ставку на высокий уровень вовлеченности, внешне легитимную подачу и доверие к популярным платформам. В результате скептицизм аудитории снижается, а охват вредоносных публикаций растет.

Две основные тактики

Анализ выделяет две наиболее распространенные стратегии, которые используют злоумышленники.

• Вредоносные обучающие видео — контент публикуется аккаунтами, имитирующими достоверные источники и часто копирующими визуальный стиль известных брендов, включая Windows.
• Скрытое вовлечение через comments — злоумышленники вступают в диалог с пользователями под постами, которые выглядят безобидно, и постепенно переводят их на вредоносные сайты или поддельные video tutorials.

Как работает первая схема

В одной из типичных атак видео содержит голос, сгенерированный искусственным интеллектом, который объясняет, как “разблокировать” сервис, например Spotify Premium, с помощью команд PowerShell. На практике эти команды могут вести к загрузке вредоносного ПО, включая Vidarstealer.

Vidarstealer — известный stealer, предназначенный для кражи конфиденциальных данных, включая учетные данные и финансовую информацию. По данным анализа, он широко используется в киберкриминальных операциях и недавно получил обновления, усиливающие механизмы уклонения от обнаружения.

«Контент часто выглядит правдоподобно, используя высокие показатели вовлеченности для преодоления скептицизма и привлечения широкой аудитории».

Вторая схема: атака через comments

Вторая стратегия опирается на интерактивную природу social media. После того как злоумышленники завоевывают доверие подписчиков, они направляют их на вредоносные ресурсы или на видеоуроки, замаскированные под легитимный контент.

Такой подход особенно опасен тем, что вредоносная активность смешивается с обычной лентой пользователя. Из-за этого отличить атаку от обычного контента становится значительно сложнее. Дополнительную проблему создает возможность удалять предупреждения, оставленные внимательными пользователями.

Почему эта угроза трудно обнаруживается

Ситуацию осложняют и проблемы с reporting вредоносного контента на платформах social media. Сообщения о подозрительных публикациях могут отклоняться алгоритмами или теряться в неэффективных процессах moderation, что позволяет вредоносному контенту распространяться без контроля.

Организации сталкиваются с серьезными трудностями в защите от таких эволюционирующих угроз. Традиционные программы awareness о phishing по-прежнему сосредоточены главным образом на email, тогда как каналы social media нередко остаются вне зоны внимания.

Что следует делать организациям

Чтобы снизить риски, аналитики рекомендуют сделать упор на практические меры защиты и обучение персонала. В частности:

• проводить регулярные audits прав пользователей;
• следить за тем, чтобы лица, имеющие права на установку программного обеспечения, были обучены распознаванию malware;
• обеспечивать непрерывно обновляемую подготовку по меняющимся тактикам phishing;
• поощрять пользователей сообщать о suspicious content;
• адаптировать меры защиты к новым threat vectors в social media.

Как подчеркивает отчет, именно повышенная бдительность и способность быстро адаптироваться к новым сценариям атак будут критически важны для поддержания безопасности.