Slibují Spotify Premium zdarma, ale je to past. Stačí vložit příkaz do Windows a ukradnou vám všechna hesla

Jedno krátké video na TikToku, jeden zkopírovaný příkaz do PowerShellu, a z prohlížeče zmizí hesla, platební údaje i session tokeny.

Zdroj fotografie: Pexels

Bezpečnostní firma ReversingLabs na začátku června odhalila kampaň, která se šíří přes TikTok a Instagram Reels a cílí na uživatele Windows. Videa vypadají jako nevinné tutoriály: slibují Spotify Premium zdarma, bezplatnou aktivaci Windows nebo Microsoft Office bez licence. Některé varianty lákají i na CapCut Pro či YouTube Premium. Místo aktivace ale návod vede k jedinému cíli: oběť si sama do systému stáhne a spustí infostealer Vidar, který nekrade jen přihlášení ke Spotify, ale prakticky vše cenné, co má uživatel uložené v prohlížeči.

Jak celý podvod funguje krok za krokem

Scénář je vždy stejný. Krátké video s profesionálním střihem a AI hlasovým komentářem vás provede „jednoduchým trikem“. Otevřete nabídku Start, napíšete PowerShell, spustíte ho a vložíte příkaz, který vám video nadiktuje nebo zobrazí na obrazovce.

Ten příkaz vypadá jako neškodný řádek textu. Ve skutečnosti jde o kombinaci dvou legitimních nástrojů Windows: Invoke-RestMethod (zkráceně irm) stáhne obsah ze vzdáleného serveru a Invoke-Expression (iex) ho okamžitě spustí jako příkaz na vašem počítači. Podle dokumentace Microsoftu je to ekvivalent toho, jako byste si z internetu stáhli neznámý program a bez rozmyslu ho spustili, jen to vypadá jako jeden řádek textu. Stažený soubor, který ReversingLabs identifikovali jako build.exe, je právě Vidar.

Co všechno Vidar z počítače vytáhne

Název „infostealer“ není nadsázka. Vidar patří podle analýzy Rapid7 mezi nejčastěji používané kradoucí malware na podzemních tržištích. Po spuštění projde prohlížeč a vytáhne:

• uložená uživatelská jména a hesla,
• cookies a session tokeny (díky nim se útočník přihlásí i bez znalosti hesla),
• automaticky vyplňovaná data včetně adres,
• uložené platební karty,
• přístupy ke kryptopeněženkám,
• dvoufaktorové ověřovací kódy a zálohy 2FA.

Nejde tedy o ztrátu jednoho účtu. Jde o kompromitaci celé digitální identity uložené v prohlížeči. Vidar přitom podle Malwarebytes běží z velké části nenápadně v paměti a data odesílá na řídicí server útočníků, aniž by uživatel zaregistroval cokoli neobvyklého.

Je to nebezpečnější než klasický phishing

Phishingový e-mail s přílohou nebo falešným formulářem většina lidí už aspoň tuší rozpoznat. Tady je situace jiná. Oběť neotevírá podezřelou přílohu, ale sama zadává příkaz do vlastního systému. Má pocit, že „jen postupuje podle návodu“. Právě tato vrstva vlastního jednání pomáhá kampani obejít část běžných automatických ochran, jak popisuje i Microsoft v rozboru techniky ClickFix. Útočníci navíc těží z algoritmů sociálních sítí; jedno z odhalených videí mělo přes 109 tisíc zhlédnutí a více uložení než lajků, což je přesně typ interakce, který TikTok odměňuje dalším dosahem.

Mezi doménami, které ReversingLabs zveřejnili jako součást kampaně, figurují například Pluginchad.xyz, Maxapk.xyz, D4ug.site nebo Msget.run. Účty typu @windows.tips1 či @wtips404 napodobují oficiální branding Windows. Českou jazykovou verzi videí se ve veřejně dostupných materiálech nepodařilo dohledat, ale kampaň je přes feed dostupná i českým uživatelům – algoritmus nerozlišuje hranice.

Vidar už jednou byl i u nás

Mechanismus není v Česku novinkou. Už v únoru 2025 CSIRT.CZ varoval před falešnými weby napodobujícími DeepSeek, které přes JavaScript zkopírovaly do schránky PowerShell příkaz, a po jeho spuštění se instaloval právě Vidar. NÚKIB navíc už v březnu 2023 označil TikTok jako bezpečnostní hrozbu, byť z jiných důvodů.

Co dělat, když jste příkaz spustili, a jak se bránit

Pokud jste podobný příkaz zadali, berte počítač za kompromitovaný. Microsoft doporučuje nejdřív provést plný antivirový scan, teprve potom měnit hesla, a to z jiného, čistého zařízení. Zkontrolujte nastavení všech důležitých účtů, připojené aplikace a aktivní relace.

Prevence je jednoduchá: žádná legitimní služba po vás nebude chtít otevírat PowerShell a vkládat cizí kód. Spotify samo nabízí na svém oficiálním webu časově omezené zkušební verze Premium zdarma, bez příkazů, bez „aktivátorů“. Cokoli mimo oficiální kanál, co vás vede ke spuštění příkazu nebo stažení „cracku“, je s vysokou pravděpodobností past.

Nejnebezpečnější na celé kampani nakonec není technická sofistikovanost malwaru. Je to iluze, že děláte něco normálního, že jen sledujete návod.