top of page

Hakerlar TikTokdan Vidar va StealC zararli dasturlarini tarqatish va ClickFix orqali ularni yoyish uchun foydalanmoqda

5 days ago

3 min read

0

16

0

Latrodectus nomi bilan tanilgan zararli dastur keng qo‘llaniladigan ijtimoiy muhandislik usuli — ClickFix orqali tarqatiladigan eng so‘nggi tahdidga aylandi.

"Expel" kompaniyasi taqdim etgan hisobotda shunday deyiladi:

"ClickFix texnikasi ayniqsa xavfli, chunki u zararli dasturga diskka yozilmasdan to‘g‘ridan-to‘g‘ri operativ xotirada ishga tushishga imkon beradi. Bu esa brauzerlar yoki xavfsizlik vositalarining zararli dasturani aniqlashi yoki to‘sib qo‘yishini ancha qiyinlashtiradi."

Latrodectus — "IcedID" zararli dasturining davomchisi hisoblanadi. Bu dastur boshqa zararli yuklamalarni (masalan, ransomware) tizimga tushiruvchi sifatida ishlaydi. U haqida birinchi marta 2024-yil aprel oyida Proofpoint va Team Cymru tomonidan ma’lumot berilgan.

Qiziq tomoni shundaki, Latrodectus — yaqinda o‘tkazilgan Operation Endgame deb nomlangan global maxsus amaliyot natijasida faoliyatida jiddiy uzilishlarga uchragan zararli dasturlardan biridir. Bu amaliyot doirasida 2025-yilning 19–22-may kunlari orasida dunyo bo‘yicha 300 ta server ishdan chiqarilgan va 650 ta zararli domen (shu jumladan Bumblebee, Latrodectus, QakBot, HijackLoader, DanaBot, TrickBot va WARMCOOKIE bilan bog‘liq) zararsizlantirilgan.

Expel kompaniyasi tomonidan 2025-yil may oyida kuzatilgan Latrodectus hujumlarining so‘nggi to‘lqinida, foydalanuvchilar zararli veb-sayt orqali PowerShell buyrug‘ini nusxalash va ishga tushirishga chuv tushirilmoqda. Bu usul hozirda turli xil zararli dasturlarni tarqatishda keng qo‘llaniladigan usullardan biriga aylangan.

Expel shunday deydi:

"Foydalanuvchi buyruqni ishga tushirganda, u MSIExec yordamida masofaviy URL manzilida joylashgan faylni o‘rnatishga va uni xotirada ishga tushirishga harakat qiladi. Bu hujumchiga faylni kompyuter diskiga yozmasdan turib, brauzer yoki antivirus tomonidan aniqlanish xavfini kamaytiradi."

MSI o‘rnatiluvchisi NVIDIAga tegishli haqiqiy ilovani o‘z ichiga oladi. Bu ilova orqali zararli DLL fayl "sideload" qilinadi, u esa curl yordamida asosiy zararli faylni yuklab oladi va ishga tushiradi.

🛡️ Himoya qilish usullari:

Bunday hujumlarga qarshi quyidagilar tavsiya etiladi:

  • Group Policy Objects (GPOs) yordamida Windows Run dasturini o‘chirib qo‘yish.

  • Windows Registry sozlamalari orqali "Windows + R" tugmalar birikmasini o‘chirib qo‘yish.

Bu choralar foydalanuvchilarni zararli PowerShell skriptlarini ishga tushirishdan himoya qilishga yordam beradi.

ClickFixdan TikTokgacha

Bu ma’lumot Trend Micro tomonidan fosh etilgan yangi ijtimoiy muhandislik kampaniyasi fonida e’lon qilindi. Ushbu kampaniya avvalgidek soxta CAPTCHA sahifalariga emas, balki sun’iy idrok (AI) yordamida yaratilgan bo‘lishi mumkin bo‘lgan TikTok videolariga tayanadi.

Bu videolarda foydalanuvchilarga Windows, Microsoft Office, CapCut yoki Spotify dasturlarini faollashtirish uchun o‘z tizimlarida zararli buyruqlarni ishga tushirish tavsiya qilinadi. Ushbu buyruqlar orqali esa Vidar va StealC kabi ma’lumot o‘g‘irlaydigan zararli dasturlar foydalanuvchi kompyuteriga yuklab olinadi.

Bu videolar @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc va @digitaldreams771 kabi turli TikTok hisoblaridan joylashtirilgan. Hozirda bu hisob qaydnomalari faol emas. Shulardan biri — foydalanuvchilarga "Spotify tajribangizni tezda yaxshilang" deb va’da beruvchi video — yarim millionga yaqin ko‘rishlar, 20 mingdan ortiq layk va 100 dan ziyod izoh to‘plagan.

Ushbu kampaniya ClickFix tahdidining yangi bosqichini anglatadi. Unda foydalanuvchilar noqonuniy (pirat) dasturlarni faollashtirish yo‘llarini izlaganida, ularga og‘zaki va vizual tarzda "Windows + R" tugmalarini bosib, Windows Run oynasini ochish, so‘ngra PowerShell oynasini ishga tushirib, videoda ko‘rsatilgan buyruqni bajarish yo‘li bilan yo‘naltiriladi. Natijada foydalanuvchilar o‘z tizimlarini o‘z qo‘llari bilan barbod qilishadi.

Xavfsizlik tadqiqotchisi Junestherry Dela Cruz shunday deydi:

"Tahdid egalari hozirda foydalanuvchilarni aldash uchun ehtimoliy sun’iy idrok vositalarida yaratilgan TikTok videolaridan foydalanmoqda. Ular foydalanuvchilarni go‘yoki dasturiy ta’minotni faollashtirish yoki premium funksiyalarni ochish niqobi ostida PowerShell buyruqlarini bajarishga undamoqda." Ushbu kampaniya - hujumchilarning ayni paytda mashhur bo‘lgan ijtimoiy tarmoqlardan foydalanishga doim tayyor ekanligini ko‘rsatmoqda."

Soxta "Ledger" ilovalari Mac foydalanuvchilarining “seed phrase” ma’lumotlarini o‘g‘irlash uchun ishlatilmoqda

Yaqinda aniqlangan ma’lumotlarga ko‘ra, Ledger Live ilovasining klonlangan (soxta) talqini yordamida to‘rtta turli zararli kampaniya amalga oshirilgan. Ularning maqsadi — foydalanuvchilarning maxfiy ma’lumotlari, xususan seed phrase (kriptovalyuta hamyonlarini tiklash uchun ishlatiladigan maxfiy iboralar) ni o‘g‘irlash va kriptovalyuta hamyonlarini "bo‘shatish" bo‘lgan. Bu faoliyat 2024-yil avgustidan beri davom etmoqda.

Hujumlar zararli DMG fayllar orqali amalga oshirilmoqda. Foydalanuvchi bu faylni ishga tushirgach:

  1. AppleScript yordamida parollar va Apple Notes dagi ma’lumotlar yashirincha chiqarib olinadi.

  2. So‘ng, troyanlashtirilgan Ledger Live ilovasi yuklab olinadi.

  3. Ilovani ochgan foydalanuvchiga "akkauntingiz bilan bog‘liq muammo bor" degan yolg‘on xabar ko‘rsatiladi va tiklash uchun “seed phrase” kiritish so‘raladi.

Foydalanuvchi bu ma’lumotni kiritsa, u bevosita hujumchining boshqaruvidagi serverga yuboriladi. Bu orqali ular foydalanuvchining kriptohamyonini to‘liq boshqarib olish imkoniga ega bo‘lishadi.

Kampaniyani fosh qilgan "Moonlock Lab" kompaniyasining ma’lum qilishicha, bu soxta ilovalar macOS uchun mo‘ljallangan o‘g‘rilik (stealer) dasturlaridan, jumladan Atomic macOS Stealer (AMOS) va Odyssey kabi zararli dasturlardan foydalanadi. Aynan Odyssey 2025-yil mart oyida yangi turdagi fishing sxemasini ilk bor qo‘llagan.

Shuningdek, bu faoliyat Jamf tomonidan shu oyda aniqlangan boshqa bir kampaniya bilan ham o‘zaro ustma-ust keladi. Unda PyInstaller bilan qadoqlangan macOS infostealerlar orqali Ledger Live foydalanuvchilari nishonga olingan.

MacPaw kompaniyasining kiberxavfsizlik bo‘limi shunday deydi:

"Darknet forumlarida Ledgerga qarshi sxemalar haqida muhokamalar kuchaymoqda. Keyingi to‘lqin allaqachon shakllanmoqda. Hakerlar kripto foydalanuvchilarining Ledger Livega bo‘lgan ishonchidan foydalanishda davom etishadi."

Related Posts

Comments
Share Your ThoughtsBe the first to write a comment.
bottom of page