Uma nova campanha de malware está a usar o TikTok para enganar utilizadores com a promessa de versões gratuitas e ativadas de software popular como o Windows, Spotify, Netflix e Adobe Photoshop. No entanto, em vez de receberem o programa desejado, as vítimas acabam por instalar um perigoso infostealer que rouba todo o tipo de informações sensíveis.
A campanha, que continua ativa, foi detalhada pelo BleepingComputer, que nota semelhanças com uma onda de ataques observada em maio pela Trend Micro. Os vídeos, muitas vezes curtos e diretos, prometem acesso a produtos como o Microsoft 365, CapCut Pro, Discord Nitro e até versões "Premium" inexistentes do Spotify e Netflix.
Como funciona o ataque "ClickFix"
Este tipo de ataque, conhecido como ClickFix, é uma técnica de engenharia social que fornece instruções aparentemente legítimas para resolver um problema — neste caso, ativar software pago. As vítimas são instruídas a copiar um simples comando e a executá-lo com privilégios de administrador na PowerShell, a linha de comandos do Windows.
A palavra "photoshop" no URL varia consoante o software que o vídeo finge ativar, como "windows" ou "office". Ao executar este comando, o sistema liga-se ao site malicioso para descarregar e executar um segundo script.
Aura Stealer: o ladrão de palavras-passe
O script descarrega então dois ficheiros executáveis. O primeiro, identificado como "updater.exe", é uma variante do malware de roubo de informações conhecido como Aura Stealer. Uma vez ativo, este software malicioso vasculha o computador da vítima em busca de:
Credenciais e palavras-passe guardadas nos navegadores.
Cookies de autenticação, que podem dar acesso a contas online.
Carteiras de criptomoedas.
Credenciais de outras aplicações instaladas.
Toda esta informação é depois enviada para os servidores dos atacantes. Um segundo ficheiro, "source.exe", é também descarregado para compilar e injetar código malicioso diretamente na memória do sistema, embora o seu propósito final ainda não seja totalmente claro.
Como se pode proteger desta ameaça
Se seguiu as instruções de um destes vídeos, deve considerar todas as suas credenciais e contas como comprometidas. O passo mais importante e imediato é alterar as palavras-passe de todos os sites e serviços que utiliza.
Ataques do tipo ClickFix tornaram-se extremamente populares no último ano, sendo usados para distribuir ransomware e outro software malicioso. A regra de ouro para a sua segurança é simples: nunca copie texto de um site desconhecido para o executar em ferramentas do seu sistema operativo, seja na linha de comandos, PowerShell, terminal do macOS ou shells de Linux.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech