Cibercriminosos estão usando vídeos no TikTok disfarçados como tutoriais gratuitos para ativar softwares populares — como Windows, Spotify e Netflix — com o objetivo de disseminar malware que rouba informações.
A campanha foi identificada por Xavier Mertens, especialista em segurança do ISC Handler, e apresenta grande semelhança com uma ação detectada pela Trend Micro em maio deste ano.
Segundo apuração do BleepingComputer, os vídeos fingem oferecer instruções para ativar produtos legítimos como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro, além de serviços falsos como Netflix e Spotify Premium.
A técnica utilizada é o ataque conhecido como ClickFix, um tipo de engenharia social que oferece “correções” ou comandos aparentemente confiáveis, mas que levam o usuário a executar códigos maliciosos em PowerShell ou outros scripts, infectando o computador com malware.
Cada vídeo exibe um comando simples e orienta os usuários a executá-lo no PowerShell com privilégios de administrador.
Vale destacar que o nome do programa indicado na URL varia conforme o serviço falsificado.
Por exemplo, nos vídeos falsos de ativação do Windows, a URL contém “windows” em vez de “photoshop”.
Ao executar o comando, o PowerShell conecta-se ao site remoto slmgr[.]win para baixar e rodar um script adicional.
Esse script faz o download de dois arquivos executáveis hospedados em páginas da Cloudflare.
O primeiro, disponível em https://file-epq[.]pages[.]dev/updater.exe, é uma variante do malware Aura Stealer, especializado no roubo de informações.
O Aura Stealer coleta credenciais salvas em navegadores, cookies de autenticação, carteiras de criptomoedas e dados de outros aplicativos, enviando tudo para os atacantes, que assim obtêm acesso às contas das vítimas.
De acordo com Mertens, um segundo payload chamado source.exe também é baixado.
Ele utiliza o compilador C# do .NET (csc.exe) para compilar código dinamicamente, que é injetado e executado diretamente na memória.
A função exata desse segundo payload ainda não foi esclarecida.
Quem executar esses comandos deve considerar suas credenciais comprometidas e alterar imediatamente as senhas em todos os sites e serviços utilizados.
Ataques do tipo ClickFix vêm se tornando cada vez mais comuns no último ano, sendo usados para disseminar diversas famílias de malware, especialmente em campanhas de ransomware e roubo de criptomoedas.
Como recomendação geral, usuários nunca devem copiar comandos de sites para executá-los diretamente no prompt de comando, PowerShell, terminal macOS, shells Linux ou na barra de endereços do File Explorer. Essa prática previne a execução involuntária de códigos maliciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...