Los investigadores de ciberseguridad han encaramado el velo en una campaña maliciosa generalizada que se dirige a los usuarios de Tiktok Shop a nivel mundial con el objetivo de robar credenciales y distribuir aplicaciones troyanizadas.
«Los actores de amenaza están explotando la plataforma oficial de comercio electrónico en la aplicación a través de una organización de doble ataque que combina phishing y malware para dirigir a los usuarios», dijo CTM360. «La táctica central implica una réplica engañosa de Tiktok Shop que engaña a los usuarios para que piensen que están interactuando con un afiliado permitido o la plataforma existente».
La campaña de estafa ha sido nombrada en código Clicktok Por la compañía de ciberseguridad con sede en Bahrein, llamando a la organización de distribución múltiple del actor de amenaza que involucra videos de Tiktok generados por meta anuncios y inteligencia fabricado (IA) que imitan a influencers o embajadores oficiales de la marca.
El centro del esfuerzo es el uso de dominios parecidos que se asemejan a las URL legítimas de Tiktok. Hasta la data se han identificado más de 15,000 sitios web de este tipo. La gran mayoría de estos dominios se alojan en dominios de nivel superior, como .top, .shop y .icu.
Estos dominios están diseñados para penetrar páginas de destino de phishing que roban credenciales de agraciado o distribuyen aplicaciones falsas que implementan una variación de un malware multiplataforma conocido llamado SparkKitty que es capaz de cosechar datos de dispositivos Android e iOS.
Por otra parte, una parte de estas páginas de phishing atrae a los usuarios a depositar la criptomoneda en escaparates fraudulentos al anunciar listados de productos falsos y grandes descuentos. CTM360 dijo que identificó no menos de 5,000 URL que están configurados con la intención de descargar la aplicación con malware publicándola como Tiktok Shop.
«La estafa imita la actividad legítima de Tiktok Shop a través de anuncios falsos, perfiles y contenido generado por IA, engañando a los usuarios para que se involucren para distribuir malware», señaló la compañía. «Los anuncios falsos están ampliamente distribuidos en Facebook y Tiktok, con videos generados por IA que imitan las promociones reales para atraer a los usuarios con ofertas con gran descuento».
El esquema fraudulento opera con tres motivos en mente, aunque el objetivo final es la fruto financiera, independientemente de la organización de monetización ilícita empleada:
- Disimulo compradores y vendedores de programas afiliados (creadores que promueven productos a cambio de una comisión de ventas generadas a través de los enlaces de afiliados) con productos falsos y con descuento y les piden que realicen pagos en criptomoneda
- Convencer a los participantes afiliados de «recargar» billeteras falsas en el sitio con criptomonedas, bajo la promesa de futuros pagos de comisiones o bonos de retiro que nunca se materializan
- Uso de páginas de inicio de sesión de Tiktok Shop falsas para robar credenciales de agraciado o instruirles para que descarguen aplicaciones de Tiktok Trojanized
La aplicación maliciosa, una vez instalada, pide a la víctima que ingrese sus credenciales utilizando su cuenta basada en el correo electrónico, solo para que falle repetidamente en un intento deliberado por parte de los actores de amenaza para presentarles un inicio de sesión independiente usando su cuenta de Google.
Es probable que este enfoque esté destinado a evitar los flujos de autenticación tradicionales y originar el token de sesión creado utilizando el método basado en OAuth para el comunicación no facultado sin requerir la subsistencia de correo electrónico en la aplicación. Si la víctima iniciada intenta ceder a la sección Tiktok Shop, se dirige a una página de inicio de sesión falsa que solicita sus credenciales.
Todavía está integrado internamente de la aplicación Sparkkitty, un malware que es capaz de hacer huellas dactilares del dispositivo y usar técnicas de registro de caracteres ópticos (OCR) para analizar capturas de pantalla en la soportal de fotos de un agraciado para frases de semillas de billetera de criptomonedas, y exfiltrarlas a un servidor conectado al atacante.
La divulgación se produce cuando la compañía igualmente detalló otra campaña de phishing dirigida a Cyberheist Phish que está utilizando anuncios de Google y miles de enlaces de phishing a las víctimas de Dupe que buscan sitios de banca en recta corporativas para ser redirigidos a páginas aparentemente benignas que imitan el portal de inicio de sesión bancario objetivo y están elaborados para que se elaboren sus credenciales.
«Esta operación de phishing es particularmente sofisticada conveniente a su naturaleza evasiva y selectiva y la interacción en tiempo existente de los actores de amenaza con el objetivo de recoger autenticación de dos factores en cada etapa de inicio de sesión, creación de beneficiarios y transferencia de fondos», dijo CTM360.
En los últimos meses, las campañas de phishing igualmente se han dirigido a los usuarios de Meta Business Suite como parte de una campaña llamamiento Meta Mirage que utiliza alertas de correo electrónico de violación de políticas falsas, avisos de restricción de cuentas publicitarias y solicitudes de demostración engañosas distribuidas por correo electrónico y mensajes directos para padecer a las víctimas a las páginas de convento de credenciales y cookies están alojadas en VERCEL, páginas github, netlify y Firebase.
«Esta campaña se centra en comprometer los activos comerciales de suspensión valencia, incluidas las cuentas publicitarias, las páginas de marca verificadas y el comunicación a nivel de administrador internamente de la plataforma», agregó la compañía.
Estos desarrollos coinciden con un aviso del Unidad de EE. UU. De la Red de Control de Delitos Financieros del Riquezas (FINCEN), lo que insta a las instituciones financieras a estar atentos a la identificación e informar actividades sospechosas que involucran a los quioscos de moneda aparente convertible (CVC) en un intento de combatir fraude y otras actividades ilícitas.
«Los delincuentes son implacables en sus esfuerzos por robar mosca a las víctimas, y han aprendido a explotar tecnologías innovadoras como los quioscos de CVC», dijo el director de Fincen, Andrea Gacki. «Estados Unidos se compromete a amparar el ecosistema de activos digitales para empresas y consumidores legítimos, y las instituciones financieras son un socio crítico en ese esfuerzo».
