En los últimos años, Tiktok se ha convertido en un objetivo principal para estafadores y atacantes cibernéticos que difunden diversas formas de malware, y la última campaña sombreada promueve videos instructivos que engañan a los usuarios para que descarguen infantes de infostadores a sus dispositivos a través de ataques con clickfix.
El esquema, identificado por Trend Micro e informado por Bleeping Computer, instruye a los usuarios a ejecutar comandos para activar Windows y Microsoft Office o características premium en Capcut y Spotify. Se subtitula un video “Impulse su experiencia de Spotify al instante, ¡así es como!” y tiene casi medio millón de visitas.
Estos videos parecen ser generados por IA y, si bien el software que discuten es legítimo, los pasos de activación que no describen, y finalmente llevarán a los usuarios a infectar sus dispositivos con Vidar y STEALC Malware.
El algoritmo de compromiso de Tiktok facilita que se extienda tales videos maliciosos. En el pasado, los ciberdelincuentes han utilizado el “desafío invisible” de tendencias de Tiktok para difundir malware de robador WASP, que puede robar cuentas de discordia, contraseñas, tarjetas de crédito y billeteras criptográficas. Los obsequios falsos de criptomonedas publicados en Tiktok usaron defectos profundos de Elon Musk (y temas alrededor de SpaceX y Tesla) para estafar a los usuarios a pagar depósitos de “activación” usando bitcoin.
Cómo funcionan los ataques de Tiktok ClickFix
ClickFix es una táctica de ingeniería social que utiliza mensajes de error falsos o las indicaciones de Captcha para engañar a los usuarios para que ejecute un comando con código malicioso. Los usuarios verán una notificación emergente sobre un problema técnico con instrucciones para copiar y ejecutar un comando (comúnmente un script de PowerShell) para “solucionar” el problema. El ataque con mayor frecuencia se dirige a los usuarios de Windows, pero también se ha empleado en MacOS y Linux.
¿Qué piensas hasta ahora?
En la campaña actual de Tiktok, los videos instructivos les solicitan a los usuarios que ejecutaran un comando PowerShell que instala malware Vidar o Stealc que estén robando la información. El primero puede tomar capturas de pantalla de escritorio y cosechar datos que van desde credenciales de inicio de sesión y cookies hasta tarjetas de crédito y billeteras de criptografía. El último se dirige a navegadores web y billeteras de criptografía. Una vez ejecutado, el script descargará un segundo script PowerShell que le permite iniciarse automáticamente al inicio del dispositivo. También guarda en un directorio oculto y elimina las carpetas temporales para que pueda evadir la detección.
Cómo detectar videos maliciosos de tiktok
Tenga cuidado con los siguientes videos de instrucción en que se le sirve en Tiktok (así como contenido técnico no solicitado en general). Verifique la fuente, y solo comprometerse con aquellos que son legítimos, como del desarrollador mismo. También debe buscar signos de contenido generado por IA, que pueden usarse para difundir el malware de manera amplia y rápida. No hay un código malicioso realmente integrado o entregado por estos videos instructivos (el esquema depende de la ingeniería social a través de direcciones verbales, lo que hace que la amenaza técnicamente sea más difícil de detectar.
