image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Offerte & Coupon
Accedi a Xenforo
Immagine di Modder cinesi raddoppiano la VRAM delle RTX 5080 Modder cinesi raddoppiano la VRAM delle RTX 5080...
Immagine di Con Nano Banana potete tutti creare foto incredibili Con Nano Banana potete tutti creare foto incredibili...

TikTok diffonde malware che rubano dati: state attenti!

Alcuni video TikTok che sembrano offrire guide gratis per attivare Windows, Spotify e Netflix, diffondo in realtà pericolosi malware.

Advertisement

Avatar di Marco Pedrani

a cura di Marco Pedrani

Caporedattore centrale @Tom's Hardware Italia

Pubblicato il 20/10/2025 alle 09:25

La notizia in un minuto

  • Una nuova campagna malware sfrutta video TikTok che promettono versioni gratuite di software popolari come Photoshop, Windows e Adobe Premiere, ingannando utenti con la tecnica ClickFix
  • Il meccanismo richiede di eseguire un comando PowerShell come amministratore che scarica Aura Stealer, un malware che ruba credenziali, cookie, portafogli crypto e dati sensibili dal sistema
  • Gli esperti avvertono: mai copiare ed eseguire comandi da fonti non verificate in terminali di sistema, e chi è caduto nella trappola deve considerare tutte le proprie credenziali compromesse

Riassunto generato con l’IA. Potrebbe non essere accurato.

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più

Una nuova ondata di attacchi informatici sta sfruttando la popolarità di TikTok per diffondere malware particolarmente insidioso. I cybercriminali hanno escogitato un metodo ingegnoso che fa leva sulla ricerca di software gratuiti, trasformando tutorial apparentemente innocui, che promettono di offrire soluzioni per attivare programmi a pagamento senza pagare le licenze, in vere e proprie trappole digitali.

Il meccanismo d'attacco si basa su una tecnica nota come ClickFix, una forma di ingegneria sociale che presenta istruzioni apparentemente legittime per risolvere problemi tecnici. Nel caso specifico, i video promettono di sbloccare versioni complete di applicazioni molto richieste: da Windows a Microsoft 365, passando per Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro. Non mancano nemmeno riferimenti a servizi di streaming come Netflix e Spotify Premium, per i quali non esistono nemmeno versioni a pagamento che richiedano attivazione.

La scoperta è stata effettuata da Xavier Mertens, analista dell'ISC Handler, che ha identificato pattern simili a campagne precedenti. I video mostrano un breve comando di una sola riga che gli spettatori vengono invitati a eseguire come amministratori in PowerShell, il terminale di comandi di Windows. Il comando utilizza abbreviazioni tipiche di PowerShell come "iex" e "irm" per connettersi a un sito remoto e scaricare uno script aggiuntivo.

Immagine id 72370

L'indirizzo web contenuto nel comando varia a seconda del programma che viene contraffatto: se il video promette di attivare Photoshop, l'URL conterrà quella parola chiave, mentre per l'attivazione di Windows apparirà un riferimento diverso. Una volta eseguito, lo script si connette al dominio slmgr[.]win per recuperare ulteriori istruzioni malevole.

Il carico dannoso principale consiste in due file eseguibili ospitati su pagine Cloudflare. Il primo, denominato updater.exe, rappresenta una variante di Aura Stealer, un software progettato per rubare informazioni sensibili. Questo malware scandaglia il sistema alla ricerca di credenziali salvate nei browser, cookie di autenticazione, portafogli di criptovalute e dati di accesso memorizzati in altre applicazioni.

Le informazioni raccolte vengono immediatamente trasmesse agli aggressori, che ottengono così accesso diretto agli account delle vittime. Un secondo file, chiamato source.exe, viene scaricato successivamente e utilizza il compilatore Visual C# integrato in .NET per generare ed eseguire codice direttamente in memoria, rendendo più difficile il rilevamento da parte degli antivirus. Gli esperti di sicurezza non hanno ancora chiarito completamente la funzione di questo secondo componente.

La trappola si attiva quando l'utente esegue il comando come amministratore

Gli attacchi ClickFix hanno registrato una crescita esponenziale nell'ultimo anno, venendo impiegati per distribuire diverse tipologie di malware in campagne che spaziano dal ransomware al furto di criptovalute. La tattica si dimostra particolarmente efficace perché sfrutta la fiducia degli utenti in contenuti apparentemente educativi e la loro voglia di ottenere software costosi senza spendere.

Chi avesse già eseguito questi comandi dovrebbe considerare tutte le proprie credenziali compromesse e procedere immediatamente alla modifica delle password su tutti i siti web utilizzati. In generale, è sempre consigliabile prestare molta attenzione a ciò che si trova online: meglio non copiare mai testo da un sito web per eseguirlo in finestre di sistema, che si tratti della barra degli indirizzi di Esplora File, del prompt dei comandi, di PowerShell su Windows, del terminale su macOS o delle shell su Linux. Questa precauzione vale indipendentemente dalla fonte e dalla promessa associata al comando.

Fonte dell'articolo: www.bleepingcomputer.com

Le notizie più lette

#1
Con Nano Banana potete tutti creare foto incredibili
9

Hardware

Con Nano Banana potete tutti creare foto incredibili

#2
Il ritorno dell’hypervisor leggero: semplicità e controllo nella nuova era della virtualizzazione
7

Business

Il ritorno dell’hypervisor leggero: semplicità e controllo nella nuova era della virtualizzazione

#3
Modder cinesi raddoppiano la VRAM delle RTX 5080
6

Hardware

Modder cinesi raddoppiano la VRAM delle RTX 5080

#4
Nvidia Feynman, la rivoluzione GPU è in arrivo

Hardware

Nvidia Feynman, la rivoluzione GPU è in arrivo

#5
La carenza di RAM frena la ripresa del mercato PC
9

Hardware

La carenza di RAM frena la ripresa del mercato PC

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?

Invia

Per commentare come utente ospite, clicca triangoli

Cliccati: 0 /

Reset

Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione

Advertisement

Ti potrebbe interessare anche

Con Nano Banana potete tutti creare foto incredibili
9

Hardware

Con Nano Banana potete tutti creare foto incredibili

Di Andrea Ferrario
Modder cinesi raddoppiano la VRAM delle RTX 5080
6

Hardware

Modder cinesi raddoppiano la VRAM delle RTX 5080

Di Antonello Buzzi
Nvidia Feynman, la rivoluzione GPU è in arrivo

Hardware

Nvidia Feynman, la rivoluzione GPU è in arrivo

Di Marco Pedrani
La carenza di RAM frena la ripresa del mercato PC
9

Hardware

La carenza di RAM frena la ripresa del mercato PC

Di Antonello Buzzi
Navi 21, possibili difetti strutturali su RX 6800 e 6900 XT
2

Hardware

Navi 21, possibili difetti strutturali su RX 6800 e 6900 XT

Di Antonello Buzzi

Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.