TikTok jako distribuční kanál malwaru: ClickFix útoky šíří infostealery Vidar a StealC

Na platformě TikTok se objevila kampaň, která využívá tzv. ClickFix útoky k šíření infostealer malwaru. Útočníci zneužívají vysoký dosah TikToku a techniky sociálního inženýrství k šíření škodlivých skriptů, které infikují zařízení malwarem Vidar nebo StealC.

Jak útoky fungují?

Bezpečnostní experti z Trend Micro popsali, že útočníci publikují TikTok videa, která vypadají jako návody na aktivaci nelegálních funkcí v populárním softwaru – například Windows, Microsoft Office, Spotify nebo CapCut. Ve videích, často generovaných pomocí AI, jsou uživatelé instruováni, aby spustili PowerShell příkazy, které údajně aktivují software. Ve skutečnosti však tyto příkazy stahují škodlivé skripty.

Například příkaz v jednom videu směřuje uživatele na:

hxxps://allaivo[.]me/spotify – zde se stáhne a spustí malware Vidar nebo StealC

následně je spuštěn další skript z hxxps://amssh[.]co/script[.]ps1, který přidá malware do registru Windows pro automatické spouštění

Jedno z videí mělo více než 500 000 zhlédnutí a 20 000 lajků, což svědčí o virálním potenciálu této taktiky.

Co je ClickFix?

ClickFix je technika sociálního inženýrství, která podvodně navádí uživatele k ručnímu spuštění škodlivého kódu. Často používá falešné chyby, CAPTCHA výzvy nebo instrukce k aktivaci softwaru. Jde o strategii navrženou k obcházení tradičních zabezpečení – protože příkaz spouští sám uživatel, bezpečnostní řešení jej často nepovažují za hrozbu.

ClickFix se původně zaměřoval na uživatele Windows, ale v poslední době se objevují i varianty pro macOS a Linux. Tento přístup byl využíván i státem podporovanými skupinami jako APT28 (Rusko), Kimsuky (KLDR) nebo MuddyWater (Írán).

Schopnosti malwaru Vidar a StealC

Jakmile je zařízení kompromitováno, malware má rozsáhlé možnosti:

– Vidar pořizuje snímky obrazovky, krade hesla, cookies, kreditní karty, cílí na kryptopeněženky a databáze dvoufázového ověřování (např. Authy).

– StealC se zaměřuje na více webových prohlížečů a kryptopeněženek, dokáže extrahovat široké spektrum citlivých dat.

TikTok jako nástroj kyberútoků

Toto není poprvé, kdy je TikTok zneužíván k distribuci malwaru. V minulosti šlo například o tzv. „Invisible Challenge“, který vedla k šíření WASP Stealer, zaměřeného na Discord účty,nebo o videa napodobující giveaway kampaně Elona Muska byla používána k podvodům s kryptoměnami.

TikTok se tak stává stále častěji cílem zneužití díky své algoritmické propagaci obsahu a mladé a nezkušené uživatelské základně.

Doporučení pro organizace i jednotlivce

– Upozorňujte zaměstnance a uživatele na rizika sledování a spouštění návodů z neověřených zdrojů, obzvláště sociálních sítí.

– Zakázat spouštění PowerShellu pro běžné uživatele, pokud to provoz umožňuje.

– Monitorovat výstupní komunikaci (exfiltrace) pro indikaci přítomnosti infostealeru.

– Používat EDR řešení, které rozpozná chování malwaru v reálném čase.

ClickFix útoky na TikToku jsou důkazem, že zneužití důvěry mladé generace v influencery a online návody může vést k vážným kompromitacím dat. Organizace by měly reagovat proaktivně – edukací, technickými opatřeními a pravidelnou revizí bezpečnostních politik.

Zdroj: bleepingcomputer.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI.