News
Luglio 28, 2025
Una delle app più scaricate di sempre. TikTok nel 2025 è diventato anche qualcos’altro. Un vettore efficace per distribuire malware sofisticati direttamente ai dispositivi delle vittime. Con impatti diretti e sottovalutati anche per le aziende. In un articolo pubblicato da The Hacker News, è emerso come cybercriminali stiano utilizzando video TikTok per diffondere Vidar e StealC, due famiglie di malware note per la loro capacità di sottrarre dati sensibili da browser, criptowallet, e sistemi operativi.
Il meccanismo? Un mix di intelligenza artificiale, ingegneria sociale e vulnerabilità umane.
Alcuni attaccanti stanno pubblicando video su TikTok apparentemente innocui: tutorial per attivare gratuitamente software commerciali come Office, Spotify, Windows o Adobe.
Nulla di non già visto e vissuto, se non fosse che:
i volti nei video sono creati con IA generativa
i contenuti spiegano come lanciare script PowerShell
gli script portano a un eseguibile malevolo tramite Pastebin
l’eseguibile installa Vidar o StealC sul dispositivo della vittima
Questa tecnica è stata battezzata ClickFix. E chi si fida, apre la porta a un infostealer.
Una strategia a basso spesa, massima resa, difficile da intercettare con i filtri tradizionali e che rappresenta una minaccia diretta per tutte le realtà che gestiscono app mobile o ambienti BYOD, dove l’utente finale è spesso l’anello debole della catena.
Immagina questo scenario: un dipendente guarda un video su TikTok durante la pausa. Vorrebbe ascoltare gratuitamente la musica da Spotify, e quindi, esegue lo script indicato e nel farlo installa senza saperlo StealC. Il malware accede ai cookie del browser, ai token di sessione, ai file temporanei. Se quel dipendente accede a portali aziendali o mobile app enterprise sullo stesso dispositivo, le credenziali ed i dati sono compromessi.
Non è un rischio ipotetico. Vidar e StealC sono progettati per operare in silenzio, raccogliere dati in background e inviarli a un server di comando (C2) gestito da operatori criminali. Possono esfiltrare:
password salvate nei browser
credenziali di accesso a webmail o VPN
informazioni su portafogli crypto o dati bancari
eventuali token usati da app mobile aziendali
Le tue app mobile aziendali sono usate su dispositivi personali?
Richiedi un MDM o UEM assessment
I motivi del successo della tecnica ClickFix sono molteplici. Primo fra tutti, l’uso di volti e voci generate con l’intelligenza artificiale, che rendono i video professionali, umani, convincenti. Inoltre, i tutorial si presentano come soluzioni gratuite e immediate a problemi quotidiani: chi non vorrebbe attivare Spotify premium senza pagare?
Ma c’è un altro elemento da non sottovalutare: la distribuzione massiva tramite un algoritmo virale. TikTok favorisce contenuti che ricevono molte interazioni nei primi secondi. Gli hacker sfruttano account bot per aumentare artificialmente le visualizzazioni iniziali, facendo arrivare i video anche agli utenti reali.
E qui entra in gioco un elemento fondamentale: il rischio indiretto sulle app aziendali. Non perché siano bersaglio diretto di ClickFix, ma perché sono presenti sui dispositivi compromessi.
Nel 2025, può capitare che un’applicazione mobile aziendale viva accanto a TikTok, Instagram, Spotify e app personali, specie se in azienda è concesso il BYOD (Bring Your Own Device). Se il device è compromesso, anche i dati generati o scambiati con l’app mobile sono a rischio. Token OAuth, cookie di sessione, API: tutto può essere intercettato.
La sicurezza delle mobile app non si limita più al codice o all’autenticazione. Deve estendersi al contesto in cui vivono. E quel contesto include anche i social.
Non hai il controllo dei dispositivi su cui girano le tue app?
Richiedi un MDM o UEM assessment
Alla luce di questi scenari, il consiglio più concreto per i team di sicurezza e sviluppo è: alzare il livello di consapevolezza e prevenzione, sia sul lato utente sia sul lato applicazione. In particolare:
Formare gli utenti su rischi nascosti nei social e nelle app non aziendali
Limitare i permessi non necessari nelle app mobile
Evitare il salvataggio locale di credenziali o token persistenti
Effettuare assessment MDM o UEM sui device aziendali e BYOD
ClickFix dimostra quanto sia facile compromettere un dispositivo. Tu puoi rendere difficile sfruttarlo.
Contattaci per un assessment dei tuoi device