Ces dernières années, Tiktok est devenu une cible privilégiée pour les escrocs et les cyberattaquants diffusant diverses formes de logiciels malveillants, et la dernière campagne ombragée promeut des vidéos pédagogiques qui incitent les utilisateurs à télécharger des infostelleurs sur leurs appareils via des attaques ClickFix.
Le schéma, identifié par Trend Micro et rapporté par Bleeping Computer, demande aux utilisateurs d’exécuter des commandes pour activer Windows et Microsoft Office ou des fonctionnalités Premium dans Capcut et Spotify. Une vidéo est sous-titrée « Boostez votre expérience Spotify instantanément – voici comment! » et a près d’un demi-million de vues.
Ces vidéos semblent être générées par l’IA et, bien que le logiciel dont ils discutent soit légitime, les étapes d’activation qu’ils décrivent ne sont pas, et conduiront finalement les utilisateurs à infecter leurs appareils avec Vidar et Stealc malware.
L’algorithme d’engagement de Tiktok permet à de telles vidéos malveillantes de se propager facilement. Dans le passé, les cybercriminels ont utilisé le « défi invisible » tendance de Tiktok pour répandre les logiciels malveillants de la guêpe, qui peuvent voler des comptes de discorde, des mots de passe, des cartes de crédit et des portefeuilles cryptographiques. Les faux cadeaux de crypto-monnaie affichés sur Tiktok ont utilisé Deepfakes d’Elon Musk (et les thèmes autour de SpaceX et Tesla) pour escroquer les utilisateurs dans des dépôts « Activation » à l’aide de Bitcoin.
Comment fonctionnent Tiktok Clickfix
Clickfix est une tactique d’ingénierie sociale qui utilise de faux messages d’erreur ou des invites CAPTCHA pour inciter les utilisateurs à exécuter une commande avec un code malveillant. Les utilisateurs verront une notification contextuelle sur un problème technique avec des instructions pour copier et exécuter une commande (généralement un script PowerShell) pour « résoudre » le problème. L’attaque cible le plus souvent les utilisateurs de Windows, mais il a également été utilisé sur macOS et Linux.
Que pensez-vous jusqu’à présent?
Dans la campagne TIKTOK actuelle, les vidéos pédagogiques invitent les utilisateurs à exécuter une commande PowerShell qui installe VIDAR ou STALC STADE MALWOWIR des informations. Le premier peut prendre des captures d’écran de bureau et récolter des données allant des informations d’identification et des cookies aux cartes de crédit et aux portefeuilles cryptographiques. Ce dernier cible les navigateurs Web et les portefeuilles cryptographiques. Une fois exécuté, le script téléchargera un deuxième script PowerShell lui permettant de se lancer automatiquement lors du démarrage de l’appareil. Il économise également dans un répertoire caché et supprime les dossiers temporaires afin qu’il puisse échapper à la détection.
Comment repérer des vidéos tiktok malveillantes
Méfiez-vous de suivre les vidéos pédagogiques que vous avez servis sur Tiktok (ainsi que le contenu technique non sollicité en général). Vérifiez la source et engagez uniquement avec ceux qui sont légitimes, comme le développeur lui-même. Vous devez également rechercher des signes de contenu généré par l’IA, qui peuvent être utilisés pour répandre les logiciels malveillants largement et rapidement. Il n’y a pas de code malveillant intégré ou livré par ces vidéos pédagogiques – le schéma dépend de l’ingénierie sociale via des directions verbales – rendant la menace techniquement plus difficile à détecter.
