Campaña ClickFix en TikTok: propagan los malware Vidar y StealC

Los ciberdelincuentes han lanzado una nueva campaña maliciosa en TikTok utilizando tácticas de ingeniería social para propagar los malware de robo de información Vidar y StealC. Esta amenaza, identificada por investigadores de Trend Micro, forma parte de una táctica denominada ClickFix, que aprovecha la popularidad de la red social para engañar a los usuarios y hacerlos ejecutar comandos maliciosos de PowerShell.

¿Cómo funciona el ataque ClickFix en TikTok?

Los atacantes publican videos en TikTok, probablemente generados con inteligencia artificial (IA), que simulan ser tutoriales para activar Windows, Microsoft Office o desbloquear funciones premium en aplicaciones legítimas como CapCut o Spotify. Los videos muestran instrucciones detalladas y convincentes que alientan a los usuarios a ejecutar comandos de PowerShell bajo la falsa premisa de mejorar su experiencia.

CitarSegún Trend Micro:

"Este ataque utiliza videos (posiblemente generados por IA) para instruir a los usuarios a ejecutar comandos de PowerShell que en realidad descargan malware. El alcance algorítmico de TikTok amplifica la exposición, con videos que alcanzan cientos de miles de visitas."

Uno de estos videos, que promete mejorar Spotify "al instante", ya acumula cerca de 500,000 visualizaciones, 20,000 me gusta y más de 100 comentarios.

El funcionamiento del ataque: de TikTok al robo de datos

Cuando los usuarios siguen las instrucciones del video, ejecutan un comando de PowerShell que descarga un script remoto desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]me/spotify. Este script instala el malware Vidar o StealC, ejecutándolo en segundo plano con privilegios elevados.

Funcionalidades del malware Vidar:

• Captura de pantalla del escritorio
• Robo de credenciales y contraseñas almacenadas
• Exfiltración de cookies, tarjetas de crédito y billeteras de criptomonedas
• Acceso a archivos de texto y bases de datos de autenticación de Authy 2FA

Capacidades del malware StealC:

• Robo de datos desde navegadores web y aplicaciones de criptomonedas
• Recolección de archivos sensibles del sistema
• Monitoreo del comportamiento del usuario

Después de comprometer el sistema, el malware descarga una segunda carga útil desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]co/script[.]PS1, que añade una entrada en el registro de Windows para ejecutar el script automáticamente al inicio del sistema.

¿Qué es ClickFix y por qué es peligroso?

ClickFix es una técnica de ataque que emplea falsos mensajes de error o CAPTCHA fraudulentos para manipular al usuario y lograr que ejecute scripts maliciosos. Aunque inicialmente se dirigía a sistemas Windows, ya se han observado variantes dirigidas a macOS y Linux.

Además de actores criminales independientes, grupos de amenazas patrocinados por Estados también han empleado esta técnica:

• APT28 y ColdRiver (Rusia)
• Kimsuky (Corea del Norte)
• MuddyWater (Irán)

Estas organizaciones han incorporado ClickFix en campañas de espionaje cibernético, demostrando la efectividad y versatilidad de esta táctica maliciosa.

TikTok: una plataforma en crecimiento para campañas de malware

Esta campaña no es un caso aislado. En el pasado, los ciberdelincuentes han utilizado desafíos virales de TikTok para distribuir malware. Un ejemplo fue el "Invisible Challenge", que se usó para propagar el WASP Stealer (también conocido como Discord Token Grabber). Esta amenaza fue distribuida mediante videos virales con más de un millón de visitas, infectando a miles de usuarios.

El malware WASP Stealer permite:

• Robar credenciales de Discord
• Acceder a contraseñas y tarjetas de crédito
• Vaciar billeteras de criptomonedas

Además, TikTok ha sido aprovechado por estafadores de criptomonedas, quienes publican falsas promociones de Elon Musk, Tesla y SpaceX para engañar a los usuarios e inducirlos a entregar sus claves privadas y datos financieros.

Recomendaciones para evitar infecciones por malware en TikTok

• Desconfía de videos que te pidan ejecutar comandos de PowerShell, incluso si parecen inofensivos o provienen de cuentas populares.
• Verifica siempre la autenticidad de los tutoriales, especialmente los relacionados con activaciones de software o funciones premium.
• Usa soluciones de ciberseguridad actualizadas con protección en tiempo real contra scripts y malware.
• No descargues archivos desde enlaces acortados o sospechosos, especialmente si provienen de redes sociales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta