Una nuova ondata di attacchi informatici sta sfruttando la popolarità di TikTok per diffondere malware particolarmente insidioso. I cybercriminali hanno escogitato un metodo ingegnoso che fa leva sulla ricerca di software gratuiti, trasformando tutorial apparentemente innocui, che promettono di offrire soluzioni per attivare programmi a pagamento senza pagare le licenze, in vere e proprie trappole digitali.
Il meccanismo d'attacco si basa su una tecnica nota come ClickFix, una forma di ingegneria sociale che presenta istruzioni apparentemente legittime per risolvere problemi tecnici. Nel caso specifico, i video promettono di sbloccare versioni complete di applicazioni molto richieste: da Windows a Microsoft 365, passando per Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro. Non mancano nemmeno riferimenti a servizi di streaming come Netflix e Spotify Premium, per i quali non esistono nemmeno versioni a pagamento che richiedano attivazione.
La scoperta è stata effettuata da Xavier Mertens, analista dell'ISC Handler, che ha identificato pattern simili a campagne precedenti. I video mostrano un breve comando di una sola riga che gli spettatori vengono invitati a eseguire come amministratori in PowerShell, il terminale di comandi di Windows. Il comando utilizza abbreviazioni tipiche di PowerShell come "iex" e "irm" per connettersi a un sito remoto e scaricare uno script aggiuntivo.
L'indirizzo web contenuto nel comando varia a seconda del programma che viene contraffatto: se il video promette di attivare Photoshop, l'URL conterrà quella parola chiave, mentre per l'attivazione di Windows apparirà un riferimento diverso. Una volta eseguito, lo script si connette al dominio slmgr[.]win per recuperare ulteriori istruzioni malevole.
Il carico dannoso principale consiste in due file eseguibili ospitati su pagine Cloudflare. Il primo, denominato updater.exe, rappresenta una variante di Aura Stealer, un software progettato per rubare informazioni sensibili. Questo malware scandaglia il sistema alla ricerca di credenziali salvate nei browser, cookie di autenticazione, portafogli di criptovalute e dati di accesso memorizzati in altre applicazioni.
Le informazioni raccolte vengono immediatamente trasmesse agli aggressori, che ottengono così accesso diretto agli account delle vittime. Un secondo file, chiamato source.exe, viene scaricato successivamente e utilizza il compilatore Visual C# integrato in .NET per generare ed eseguire codice direttamente in memoria, rendendo più difficile il rilevamento da parte degli antivirus. Gli esperti di sicurezza non hanno ancora chiarito completamente la funzione di questo secondo componente.
Gli attacchi ClickFix hanno registrato una crescita esponenziale nell'ultimo anno, venendo impiegati per distribuire diverse tipologie di malware in campagne che spaziano dal ransomware al furto di criptovalute. La tattica si dimostra particolarmente efficace perché sfrutta la fiducia degli utenti in contenuti apparentemente educativi e la loro voglia di ottenere software costosi senza spendere.
Chi avesse già eseguito questi comandi dovrebbe considerare tutte le proprie credenziali compromesse e procedere immediatamente alla modifica delle password su tutti i siti web utilizzati. In generale, è sempre consigliabile prestare molta attenzione a ciò che si trova online: meglio non copiare mai testo da un sito web per eseguirlo in finestre di sistema, che si tratti della barra degli indirizzi di Esplora File, del prompt dei comandi, di PowerShell su Windows, del terminale su macOS o delle shell su Linux. Questa precauzione vale indipendentemente dalla fonte e dalla promessa associata al comando.
