Uma campanha de criminosos informáticos está a usar vídeos na plataforma TikTok para atrair utilizadores com tutoriais que alegam ensinar a obter gratuitamente software ou serviços pagos — desde sistemas Windows e pacotes Microsoft 365 até plataformas por subscrição como Netflix e Spotify. Em vez da “gambiarra” prometida, os conteúdos escondem um esquema de ataque conhecido por ClickFix que acaba por instalar malware nos dispositivos das vítimas, revelou um relato sobre a campanha.
De acordo com investigadores citados pelo El Economista, os vídeos apelam ao utilizador para executar comandos no seu computador — muitas vezes scripts PowerShell — com a promessa de desbloquear funcionalidades ou aceder a serviços sem pagar. Ao executar esses comandos, o utilizador descarrega e executa um programa malicioso chamado Aura Stealer, que foi desenhado para recolher dados sensíveis: credenciais guardadas em navegadores, cookies de autenticação e até chaves e carteiras de criptomoedas. Xavier Mertens, responsável pelo SANS Internet Storm Center (ISC), alertou para esta campanha no TikTok e chamou a atenção para o uso desta rede social como canal eficaz de engenharia social, dada a sua capacidade de atingir audiências muito vastas e diversificadas.
O método técnico: PowerShell e engenharia social
Os ataques ClickFix exploram duas frentes: por um lado, a engenharia social (o conteúdo do vídeo persuade o utilizador a confiar e a executar instruções); por outro, a execução de comandos locais (scripts PowerShell) que descarregam o malware a partir de servidores controlados pelos atacantes. PowerShell é uma ferramenta legítima do Windows com capacidades poderosas de automatização — quando utilizada maliciosamente, permite instalar software, criar persistência e exfiltrar dados sem levantar as suspeitas que um ficheiro executável descarregado poderia originar.
Quem está em risco e porquê
Qualquer utilizador que siga tutoriais técnicos sem verificação está vulnerável, mas o ataque é particularmente perigoso entre utilizadores menos experientes ou entre quem procura “truques” para aceder a serviços pagos sem subscrição. A facilidade de partilha e o carácter viral dos vídeos na plataforma tornam esta técnica atrativa para criminosos, que capitalizam na combinação de curiosidade do utilizador e de instruções aparentemente fáceis de seguir.
Como se proteger: boas práticas essenciais
Especialistas recomendam várias medidas simples e eficazes para reduzir o risco:
- Nunca execute comandos ou scripts recebidos em vídeos ou redes sociais sem validar a origem e a finalidade; não copiar/colar instruções de fontes não verificadas.
- Atualize o sistema operativo e o software regularmente para reduzir vulnerabilidades exploráveis por malware.
- Use antivírus e soluções anti-malware com definições atualizadas e faça varreduras periódicas.
- Ative a autenticação multifator (MFA) sempre que possível para dificultar o uso de credenciais roubadas.
- Não armazene informação sensível sem proteção e reveja as extensões/plug-ins do navegador; elimine credenciais que já não sejam necessárias.
- Se suspeitar de infeção, isole o dispositivo da rede, altere palavras-passe a partir de outro aparelho seguro e, se aplicável, contacte serviços de apoio técnico profissional.
