Короткі tutorial-відео в TikTok та Instagram Reels використовують як канал доставки шкідливого ПЗ: ролики обіцяють безплатний Spotify Premium, активацію Windows, Microsoft Office або схожий “лайфхак”. ReversingLabs повідомили 9 червня 2026 року про дві активні схеми: одна веде на підозрілі сторінки завантаження, інша змушує користувача копіювати PowerShell-команди, що можуть завершитися зараженням Vidar stealer на Windows.
Головна відмінність від звичайного шкідливого сайту в тому, що інструкція приходить у форматі нормального короткого відео, а не як вкладення в листі чи фейкова CAPTCHA. Якщо ви вставляли команду з такого ролика, вважайте пристрій потенційно скомпрометованим, доки його не перевірено.
Що ці відео намагаються змусити вас зробити
Приманка зазвичай починається з обіцянки корисної “халяви”: преміум-музика, активація Windows або Office, ярлик для інструмента на кшталт CapCut чи файл, який нібито відкриває платну функцію. Небезпечний момент настає тоді, коли автор відео просить відкрити PowerShell, виконати команду або перейти на сторонній сайт.
Це близько до ClickFix-схем із командами, але проблема для читача інша: людина може памʼятати саме TikTok або Reels, обіцянку безплатної програми та скопійований рядок PowerShell. Подальша перевірка схожа на будь-яку реакцію після інфостілера: спершу зупинити активність на ПК, потім чистити систему й захищати акаунти.
| Ознака | Чому це небезпечно |
|---|---|
| “Безплатний” Spotify, Office, Windows або інструмент для креаторів | Такі обіцянки створюють поспіх і змушують ігнорувати офіційні джерела завантаження. |
| Прохання відкрити PowerShell чи Terminal | PowerShell є легітимним інструментом, але скопійована команда може завантажити й запустити payload без зрозумілого підтвердження. |
iex, DownloadString, -NoP, -W Hidden або скорочені URL | Такі фрагменти часто трапляються у script-based доставці malware і не повинні виконуватися з соціального відео. |
| Сторонній сайт поза платформою | Відео може бути лише шаром довіри; завантаження або скрипт розміщено на іншій інфраструктурі. |
| Порада вимкнути захист або додати виключення | Деякі ланцюжки намагаються послабити захист до запуску стілера. |
Якщо ви виконали PowerShell-команду
Не вставляйте команду повторно, щоб “перевірити”. Якщо вона вже виконалась, використовуйте цей ПК мінімально до першої перевірки.
- Відʼєднайтеся від мережі, якщо після команди було завантаження, консольна активність або попередження безпеки.
- Збережіть підказки, а не payload: запишіть назву акаунта, URL відео, домен, імʼя файлу або фрагмент команди, але не запускайте її знову.
- Перевірте PowerShell history і автозапуск, якщо маєте досвід: невідомі скрипти, Scheduled Tasks, Run keys, Startup folder, а також свіжі файли в Downloads, AppData, Temp або Public.
- Запустіть повне сканування довіреним інструментом. Gridinsoft Anti-Malware доречний як second-opinion cleanup, бо інфостілери часто приходять разом із loaders, виключеннями або persistence.
- Змініть паролі з чистого пристрою після ізоляції ПК. Почніть з пошти, password manager, Microsoft/Google/Apple, Steam/Discord, банкінгу, криптогаманців і робочих акаунтів.
- Відкличте сесії та токени, де це можливо. Стілер може забрати browser cookies, тому зміна пароля сама по собі не завжди закриває всі активні сесії.
- Стежте за платіжними й соціальними акаунтами: нові пристрої, forwarding rules, API tokens, wallet extensions або повідомлення, надіслані від вашого імені.
Vidar — це information stealer, тому рішення після інциденту стосується не лише файлів. Збережені паролі, cookies, autofill, wallet data й tokens можуть бути важливішими за сам EXE, який побачив антивірус.
Як уникнути саме цієї пастки
Не запускайте команди з коротких відео, коментарів, pinned replies, paste-сайтів або сторінок “активації”. Якщо tutorial просить PowerShell, це серйозний warning sign, якщо тільки команда не походить з офіційної документації, яку ви відкрили самостійно. Завантажуйте програми з сайту виробника або надійного магазину, а “free premium” unlocks зі скриптами, cracks, extensions чи невідомими installers краще оминати.
Для родини або невеликої команди правило може бути простим: жодних скопійованих команд із соцмереж на Windows-ПК.
FAQ
Чи небезпечні всі tech-відео в TikTok або Reels?
Ні. Небезпека не в самій платформі. Ризик починається тоді, коли відео просить запустити PowerShell, встановити невідомий файл, вимкнути захист або перейти на неофіційну сторінку завантаження.
Що, якщо я вставив команду, але не натиснув Enter?
Якщо команда не виконувалась, ризик значно нижчий. Закрийте вікно, очистіть clipboard і не повертайтеся до приманки. Якщо ви натиснули Enter або бачили завантаження, виконайте кроки перевірки.
Vidar краде тільки Spotify-акаунти?
Ні. Spotify у цій схемі лише приманка. Стилери на кшталт Vidar можуть націлюватися на browser data, saved logins, cookies, wallet files та інші дані з профілю Windows.
Чи потрібно одразу перевстановлювати Windows?
Не за замовчуванням. Спершу ізолюйте ПК, проскануйте його, видаліть persistence і захистіть акаунти з чистого пристрою. Перевстановлення стає доречнішим, якщо malware повертається, security tools не запускаються або цього вимагає робоча політика.
Джерела
- Zaria Vuksan, “Phishing Attacks Leverage TikTok, Instagram Reels,” ReversingLabs, 9 червня 2026 року, дата доступу 11 червня 2026 року. Звіт.
- Junestherry Dela Cruz, “TikTok Videos Promise Pirated Apps, Deliver Vidar and StealC Infostealers Instead,” Trend Micro Research, 21 травня 2025 року, дата доступу 11 червня 2026 року. Дослідження.
