Cibercriminosos estão utilizando vídeos do TikTok para enganar usuários a se autoinfectarem com os malwares de roubo de informação Vidar e StealC em ataques ClickFix.
Conforme recentemente descoberto pela Trend Micro, os atores de ameaças por trás dessa campanha de engenharia social no TikTok estão utilizando vídeos provavelmente gerados por IA, que solicitam aos espectadores que executem comandos alegando ativar o Windows e o Microsoft Office, bem como recursos premium em vários softwares legítimos como CapCut e Spotify.
"Este ataque utiliza vídeos (possivelmente gerados por IA) para instruir usuários a executar comandos do PowerShell, que são disfarçados como etapas de ativação de software.
O alcance algorítmico do TikTok aumenta a probabilidade de exposição generalizada, com um vídeo alcançando mais de meio milhão de visualizações," disse a Trend Micro.
"Os vídeos são muito similares, com apenas pequenas diferenças nos ângulos da câmera e as URLs de download usadas pelo PowerShell para buscar o payload," acrescentou.
Isso sugere que os vídeos foram provavelmente criados por automação.
A voz instrucional também parece ser gerada por IA, reforçando a probabilidade de que ferramentas de IA estejam sendo usadas para produzir esses vídeos.
Um dos vídeos, que afirma fornecer instruções sobre como "melhorar sua experiência no Spotify instantaneamente", alcançou quase 500.000 visualizações, com mais de 20.000 curtidas e mais de 100 comentários.
No vídeo, os atacantes induzem os espectadores a executar um comando do PowerShell que, em vez disso, baixa e executa um script remoto de hxxps://allaivo[.]me/spotify que instala os malwares de roubo de informação Vidar ou StealC, lançando-o como um processo oculto com permissões elevadas.
Após a implantação, o Vidar pode tirar capturas de tela da área de trabalho e roubar credenciais, cartões de crédito, cookies, carteiras de criptomoedas, arquivos de texto e bancos de dados do autenticador Authy 2FA.
StealC também pode coletar uma vasta gama de informações sensíveis de computadores infectados, pois almeja dezenas de navegadores da web e carteiras de criptomoedas.
Após o dispositivo ser comprometido, o script baixa um segundo payload do script PowerShell de hxxps://amssh[.]co/script[.]ps1 que adicionará uma chave de registro para iniciar automaticamente na inicialização.
ClickFix é uma tática onde atacantes empregam erros falsos ou sistemas de verificação, como prompts de CAPTCHA, para enganar alvos potenciais a executar scripts maliciosos para baixar e instalar malware em seus dispositivos.
Embora geralmente mirem usuários do Windows através de comandos do PowerShell, ClickFix também foi adotado em ataques contra usuários de macOS e Linux.
Grupos de ameaças patrocinados pelo estado também hackearam seus alvos em ataques semelhantes, com APT28 e ColdRiver (Rússia), Kimsuky (Coreia do Norte) e MuddyWater (Irã) tendo usado essas táticas em campanhas de espionagem nos últimos meses.
Essa não é a primeira vez que vídeos do TikTok foram utilizados para disseminar malware, com cibercriminosos capitalizando em um desafio do TikTok em tendência chamado 'Desafio Invisível' para infectar milhares com um app falso que instalava o malware WASP Stealer (Discord Token Grabber).
O malware foi disseminado por meio de vídeos que receberam mais de um milhão de visualizações pouco após serem postados e pode roubar contas do Discord, senhas, cartões de crédito e carteiras de criptomoedas.
Nos últimos anos, golpistas também têm inundado o TikTok com falsos sorteios de criptomoedas, quase todos usando temas de Elon Musk, Tesla ou SpaceX.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...