Les pirates publient des vidéos pour piéger les utilisateurs de TikTok avec des malwares infostealers !
Les cybercriminels se cachent aussi sur TikTok : des vidéos sont publiées pour expliquer aux utilisateurs comment activer facilement Windows, Microsoft Office ou encore des applications Spotify. Il n'en est rien : il s'agit d'attaques de type ClickFix destinées à déployer un logiciel malveillant sur l'appareil de la victime.
Les pirates utilisent l'IA et TikTok pour propager des malwares
Un nouveau rapport publié par Trend Micro met en lumière une campagne d'attaques menée sur TikTok ! Les pirates utilisent des vidéos, vraisemblablement générées par intelligence artificielle, qui incitent les spectateurs à exécuter des commandes PowerShell. La promesse de ces commandes : vous permettre d'activer votre installation de Windows ou de Microsoft Office sans débourser un centime, ou encore de débloquer des fonctionnalités premium dans CapCut et Spotify.
"Cette attaque utilise des vidéos (probablement générées par l'intelligence artificielle) pour demander aux utilisateurs d'exécuter des commandes PowerShell, qui sont déguisées en étapes d'activation de logiciels. La portée algorithmique de TikTok augmente la probabilité d'une large diffusion, une vidéo ayant atteint plus d'un demi-million de vues.", souligne Trend Micro. Imaginez un instant : plus de 500 000 vues pour une vidéo qui diffusent un malware ! Cette même vidéo compte plus de 20 000 "J'aime" sur la plateforme TikTok et une centaine de commentaires : ce qui montre l'efficacité de cette technique d'attaque.
Les pirates n'utilisent pas une seule vidéo, mais plutôt un ensemble de vidéos relativement proche les unes des autres, avec seulement de légères variations d'angles de caméra. L'URL de téléchargement présentée à l'écran est aussi différente.
"Ces éléments suggèrent que les vidéos ont probablement été créées par automatisation. La voix instructive semble également générée par l'IA, renforçant la probabilité que des outils d'IA soient utilisés pour produire ces vidéos.", ajoute Trend Micro.
En réalité, la commande PowerShell télécharge un script malveillant depuis le site hxxps://allaivo[.]me/spotify. Ce script va infecter l'appareil de la victime avec Vidar ou StealC, des logiciels malveillants, lancés en processus caché avec des privilèges élevés. Une fois que le logiciel malveillant est actif, il va pouvoir voler des informations sensibles sur l'appareil puisqu'il agit comme un infostealer :
- Vidar est capable de prendre des captures d'écran du bureau et de voler des identifiants, cartes de crédit, cookies, portefeuilles de cryptomonnaies, fichiers texte et bases de données d'authentification Authy 2FA.
- StealC, quant à lui, peut collecter des informations sensibles en ciblant les navigateurs web et les portefeuilles de cryptomonnaies.
Il est à noter qu'un second script PowerShell est téléchargé et exécuté depuis hxxps://amssh[.]co/script[.]ps1 pour que la menace soit persistante sur la machine.
ClickFix : une tactique de plus en plus répandue
La technique utilisée par les cybercriminels dans cette campagne est connue sous le nom de "ClickFix". Il s'agit d'une tactique où les attaquants trouvent un prétexte pour inciter la victime à exécuter un script ou une commande à leur place. Par exemple, le pirate peut promettre à l'utilisateur que l'exécution d'une commande lui permettra de résoudre une erreur : certains se laissent tenter, en se disant que cela pourrait peut-être leur rendre service. Les cas sont nombreux et cette campagne sur TikTok en est un nouvel exemple...
Récemment, un groupe de cybercriminels a été observé en train de cibler les utilisateurs de Linux avec des attaques ClickFix.
Enfin, sachez que ce n'est pas la première fois que TikTok est utilisé pour diffuser des malwares ! Des cybercriminels ont déjà tiré profit d'un défi tendance de TikTok appelé "Invisible Challenge" pour infecter des milliers d'utilisateurs avec une fausse application qui installait le logiciel malveillant WASP Stealer (Discord Token Grabber)
Qu'en pensez-vous ?
