Cibercriminosos estão explorando vídeos do TikTok para executar uma nova tática de infecção chamada ClickFix, enganando usuários com instruções aparentemente úteis, mas que na verdade instalam malwares do tipo infostealer, como Vidar e StealC. Essa campanha foi detalhada pela Trend Micro, que identificou uma série de vídeos criados com ajuda de inteligência artificial (IA), nos quais narradores robóticos instruem os espectadores a rodar comandos PowerShell no computador.
Esses vídeos prometem desbloquear recursos pagos de programas como Spotify, Microsoft Office, CapCut e até mesmo ativar o sistema operacional Windows. No entanto, os comandos não ativam nada: eles iniciam o download de scripts maliciosos hospedados em domínios controlados por cibercriminosos.
Em um dos casos investigados, um vídeo com supostas “dicas para melhorar sua experiência no Spotify” alcançou quase 500 mil visualizações. Quando o comando sugerido no vídeo é executado, ele baixa um script oculto de hxxps://allaivo[.]me/spotify, que instala o Vidar ou o StealC como um processo invisível com privilégios administrativos.
Esses malwares são extremamente perigosos. O Vidar é capaz de capturar a tela do dispositivo, roubar dados de login, cookies de navegação, arquivos de texto, informações bancárias e carteiras de criptomoedas. Já o StealC ataca dezenas de navegadores e também foca no roubo de ativos digitais e senhas.
Após a infecção inicial, um segundo script é acionado a partir de hxxps://amssh[.]co/script[.]ps1, responsável por garantir a persistência do malware no sistema, alterando o registro do Windows para executar automaticamente na inicialização.
Como funciona o ClickFix?
ClickFix é uma tática de engenharia social baseada em interações enganosas, como supostos erros do sistema ou desafios CAPTCHA. O objetivo é convencer os usuários a rodar comandos perigosos que, sem seu conhecimento, instalam malwares. Embora os ataques geralmente tenham como alvo usuários do Windows via PowerShell, há registros de ataques semelhantes em sistemas macOS e Linux.
A estratégia tem sido usada por grupos cibercriminosos e também por APTs (ameaças persistentes avançadas) ligadas a governos, como APT28 e ColdRiver (Rússia), Kimsuky (Coreia do Norte) e MuddyWater (Irã), com foco em espionagem digital.
Casos anteriores no TikTok
Essa não é a primeira vez que o TikTok é explorado para propagar ameaças. Em 2023, o infame “Desafio Invisível” levou milhares de usuários a baixar um aplicativo falso que instalava o malware WASP Stealer. O vírus, projetado para capturar credenciais do Discord, cartões de crédito e carteiras digitais, foi distribuído por vídeos com mais de um milhão de visualizações.
Além disso, há anos circulam falsos sorteios de criptomoedas no TikTok, geralmente usando temas associados a Elon Musk, Tesla ou SpaceX como isca para atrair vítimas.
Alerta e prevenção
Diante desse cenário, especialistas recomendam atenção redobrada ao seguir instruções vindas de redes sociais, especialmente aquelas que envolvam execução de comandos técnicos. Ferramentas de proteção contra malwares, navegação segura e a desconfiança de promessas milagrosas ainda são as melhores defesas.
