Los videos de IA en Tiktok están engañando a los usuarios para que descarguen malware

Despierta, nena: una nueva forma de ingeniería social acaba de caer.

Los ciberdelincuentes en Tiktok están utilizando videos para engañar a los usuarios para que descarguen malware, según investigadores de Tendencia microuna empresa global de ciberseguridad. Los investigadores dicen que esta es una “nueva campaña de ingeniería social” diseñada para aprovechar a los usuarios de Tiktok.

En los videos, que probablemente están generados por IA, a los usuarios se les promete versiones gratuitas de Software de Windows y Microsoft Office o acceso a características premium en aplicaciones como Capcut y Spotify. Todo lo que tiene que hacer, dicen los cibercriminales, es ejecutar un simple comando PowerShell. Las personas siguen las instrucciones en los videos de Tiktok porque se están disfrazando de pasos de activación de software, que los malos actores usan para inyectar malware como Vidar y Stealc en los sistemas de los usuarios. Y según Computadora Bleepingmuchos de los videos tienen cientos de miles de vistas.

Los comandos de PowerShell son líneas de código cortas que ejecutan tareas en su dispositivo, y debe ser extremadamente escéptico de cualquier comando o enlace de software que encuentre en TikTok.

“En esta campaña, los atacantes están utilizando videos de Tiktok para instruir verbalmente a los usuarios sobre la ejecución de comandos maliciosos en sus propios sistemas”, explicó Trend Micro en un informe sobre el ataque. “La ingeniería social ocurre dentro del video en sí, en lugar de a través de código o scripts detectables. No hay un código malicioso presente en la plataforma para que las soluciones de seguridad analicen o bloqueen. Todo el contenido procesable se entrega visual y auralmente. Los actores de amenaza hacen esto para intentar evadir los mecanismos de detección existentes, lo que dificulta que los defensores detecten e interrumpan estas campañas”.

Tiktok se negó a comentar sobre esta amenaza en particular, pero la compañía confirmó a Mashable que las cuentas asociadas con la campaña han sido desactivadas. Los usuarios de Tiktok también pueden aprender más sobre estafas e intentos de phishing en el Centro de seguridad de Tiktok.