Los ciberdelincuentes han encontrado un nuevo y efectivo canal para difundir malware: la popular red social TikTok. Según los investigadores de seguridad, se están utilizando videos falsos de activación gratuita de software —como Windows, Spotify, Netflix, Adobe y Microsoft 365— para infectar computadoras con el malware de robo de información Aura Stealer.
La campaña, detectada por Xavier Mertens, controlador del Internet Storm Center (ISC), replica un esquema previamente documentado por Trend Micro en mayo de 2025, lo que sugiere una operación sostenida y en expansión que apunta a usuarios desprevenidos en busca de activaciones ilegales o gratuitas.
Una amenaza viral: TikTok como plataforma de distribución de malware
Los videos maliciosos, analizados por BleepingComputer, se presentan como “guías rápidas” para activar productos populares como:
-
Windows y Microsoft 365
-
Adobe Premiere y Photoshop
-
CapCut Pro y Discord Nitro
-
Servicios inventados como Netflix Premium o Spotify Premium
El formato de los videos es sencillo y convincente: muestran una breve línea de comando y piden a los usuarios que la ejecuten en PowerShell con privilegios de administrador, prometiendo una “activación instantánea” del producto.
Un ejemplo típico del comando mostrado es:
El detalle engañoso está en que el nombre del programa dentro de la URL cambia según el producto suplantado. Por ejemplo, un video sobre Windows mostraría:
ClickFix: ingeniería social al servicio del malware
Estos videos utilizan una técnica conocida como ClickFix, un método de ingeniería social diseñado para convencer a los usuarios de que ejecuten comandos aparentemente inofensivos o legítimos.
El objetivo es que el propio usuario, al creer que está “corrigiendo” un problema o activando un programa, descargue y ejecute código malicioso en su dispositivo.
En esta campaña específica, el comando de PowerShell conecta el sistema al dominio slmgr[.]win, desde donde descarga y ejecuta otro script de PowerShell.
Este segundo script descarga dos ejecutables alojados en servicios legítimos de Cloudflare Pages. El primero de ellos, updater.exe, se obtiene desde:
El análisis en VirusTotal confirmó que se trata de una variante del malware Aura Stealer, diseñado para robar credenciales y datos sensibles.
Aura Stealer: robo silencioso de credenciales y criptomonedas
Aura Stealer es un conocido troyano de robo de información (infostealer) que ha ganado popularidad entre los ciberdelincuentes por su capacidad de evadir detección y su bajo costo en foros clandestinos.
Una vez ejecutado, Aura Stealer recopila información valiosa del sistema, incluyendo:
-
Credenciales guardadas en navegadores web
-
Cookies de sesión y tokens de autenticación
-
Carteras de criptomonedas (wallets)
-
Datos de aplicaciones como Discord, Telegram y Steam
Toda la información robada se carga en servidores controlados por los atacantes, permitiéndoles tomar control de cuentas personales y empresariales, acceder a fondos digitales o vender los datos en mercados clandestinos.
Una segunda carga útil de origen desconocido
Mertens también identificó una segunda carga maliciosa, denominada source.exe, descargada durante el proceso de infección.
Esta ejecutable utiliza el compilador de Visual C# (csc.exe) integrado en .NET Framework para autocompilar y ejecutar código en memoria, técnica común en ataques avanzados para evadir la detección por antivirus y EDR.
Aunque el propósito exacto de esta segunda carga aún no está claro, los investigadores sospechan que podría servir como mecanismo de persistencia o puerta trasera adicional, permitiendo la ejecución remota de comandos o la instalación de nuevas amenazas.
Qué hacer si ejecutaste los comandos maliciosos
Los usuarios que hayan seguido las instrucciones de estos videos deben asumir que todas sus credenciales están comprometidas.
Las recomendaciones inmediatas son:
-
Desconectar el dispositivo de Internet para evitar más filtraciones.
-
Cambiar todas las contraseñas de servicios y aplicaciones utilizados.
-
Revocar sesiones activas en navegadores y plataformas en línea.
-
Ejecutar un análisis completo del sistema con una solución antivirus actualizada.
-
Restaurar el sistema desde un punto anterior o reinstalar el sistema operativo si es necesario.
ClickFix: una tendencia en aumento
El ataque ClickFix no es nuevo, pero ha ganado popularidad durante el último año debido a su simplicidad y eficacia. Campañas similares se han observado distribuyendo malware como ransomware, mineros de criptomonedas y otros infostealers, aprovechando plataformas de alta visibilidad como YouTube, Reddit y ahora TikTok.
La combinación de redes sociales, comandos de PowerShell y técnicas de confianza visual hace que incluso usuarios con cierto conocimiento técnico puedan caer en la trampa
Cómo protegerte de estos ataques
Para prevenir infecciones similares, los expertos en ciberseguridad recomiendan:
-
Nunca copiar ni ejecutar comandos obtenidos de videos, foros o sitios no oficiales.
-
Evitar descargar cracks, activadores o licencias ilegales, ya que son uno de los principales vectores de infección.
-
Mantener el antivirus y el sistema operativo actualizados.
-
Verificar la autenticidad de las fuentes antes de seguir cualquier instrucción técnica.
-
Desconfiar de promesas de activación gratuita o ilimitada de software de pago.
Como norma general, nunca se debe ejecutar texto copiado directamente en PowerShell, terminales de macOS o shells de Linux. Un solo comando malicioso puede comprometer completamente un sistema.
En fin…
La campaña de malware en TikTok demuestra cómo los atacantes están explotando la confianza y la curiosidad de los usuarios para distribuir software malicioso bajo la apariencia de tutoriales legítimos.
El uso de técnicas como ClickFix y malware como Aura Stealer evidencia una evolución en las tácticas de ingeniería social, adaptadas a plataformas donde el contenido se viraliza rápidamente.
La prevención y la educación del usuario siguen siendo las herramientas más efectivas para detener este tipo de amenazas. Recordar que ninguna activación gratuita vale el riesgo de perder tus datos o comprometer tu seguridad digital es el primer paso hacia una navegación más segura.
Fuente: Bleeping Computer
