Uma nova campanha de malware está a usar o TikTok para enganar utilizadores com a promessa de versões gratuitas e ativadas de software popular como o Windows, Spotify, Netflix e Adobe Photoshop. No entanto, em vez de receberem o programa desejado, as vítimas acabam por instalar um perigoso infostealer que rouba todo o tipo de informações sensíveis.
A campanha, que continua ativa, foi detalhada pelo BleepingComputer, que nota semelhanças com uma onda de ataques observada em maio pela Trend Micro. Os vídeos, muitas vezes curtos e diretos, prometem acesso a produtos como o Microsoft 365, CapCut Pro, Discord Nitro e até versões "Premium" inexistentes do Spotify e Netflix.
Como funciona o ataque "ClickFix"
Este tipo de ataque, conhecido como ClickFix, é uma técnica de engenharia social que fornece instruções aparentemente legítimas para resolver um problema — neste caso, ativar software pago. As vítimas são instruídas a copiar um simples comando e a executá-lo com privilégios de administrador na PowerShell, a linha de comandos do Windows.
A palavra "photoshop" no URL varia consoante o software que o vídeo finge ativar, como "windows" ou "office". Ao executar este comando, o sistema liga-se ao site malicioso para descarregar e executar um segundo script.
Aura Stealer: o ladrão de palavras-passe
O script descarrega então dois ficheiros executáveis. O primeiro, identificado como "updater.exe", é uma variante do malware de roubo de informações conhecido como Aura Stealer. Uma vez ativo, este software malicioso vasculha o computador da vítima em busca de:
Credenciais e palavras-passe guardadas nos navegadores.
Cookies de autenticação, que podem dar acesso a contas online.
Credenciais de outras aplicações instaladas.
Toda esta informação é depois enviada para os servidores dos atacantes. Um segundo ficheiro, "source.exe", é também descarregado para compilar e injetar código malicioso diretamente na memória do sistema, embora o seu propósito final ainda não seja totalmente claro.
Como se pode proteger desta ameaça
Se seguiu as instruções de um destes vídeos, deve considerar todas as suas credenciais e contas como comprometidas. O passo mais importante e imediato é alterar as palavras-passe de todos os sites e serviços que utiliza.
Ataques do tipo ClickFix tornaram-se extremamente populares no último ano, sendo usados para distribuir ransomware e outro software malicioso. A regra de ouro para a sua segurança é simples: nunca copie texto de um site desconhecido para o executar em ferramentas do seu sistema operativo, seja na linha de comandos, PowerShell, terminal do macOS ou shells de Linux.
Nenhum comentário
Seja o primeiro!