Cybersecurity -onderzoekers hebben de sluier opgeheven op een wijdverbreide kwaadaardige campagne die zich op Tiktok Shop -gebruikers wereldwijd richt met als doel referenties te stelen en Trojanised -apps te distribueren.
“Dreigingsacteurs exploiteren het officiële in-app e-commerceplatform via een dubbele aanvalsstrategie die phishing en malware combineert om gebruikers te richten,” zei CTM360. “De kerntactiek omvat een misleidende replica van de Tiktok -winkel die gebruikers misleidt om te denken dat ze interactie hebben met een legitieme affiliate of het echte platform.”
De zwendelcampagne is codenaam Klik Door het in Bahrein gevestigde cybersecuritybedrijf, die de multi-veroordelde distributiestrategie van de dreigingsacteur roept die meta-advertenties en kunstmatige intelligentie (AI) met Tiktok-video’s omvat die beïnvloeders of officiële merkambassadeurs nabootsen.
Centraal in de inspanning staat het gebruik van lookalike domeinen die lijken op legitieme Tiktok -URL’s. Tot op heden zijn meer dan 15.000 voorgestelde websites geïdentificeerd. De overgrote meerderheid van deze domeinen wordt georganiseerd op topdomeinen zoals .top, .shop en .icu.
Deze domeinen zijn ontworpen om phishing-bestemmingspagina’s te hosten die gebruikersreferenties stelen of nep-apps distribueren die een variant implementeren van een bekende platformonafhankelijke malware genaamd Sparkkitty die in staat is om gegevens van zowel Android- als iOS-apparaten te oogsten.
Wat meer is, een deel van deze phishing -pagina’s lokken gebruikers om cryptocurrency op frauduleuze winkelpuien te storten door reclame te maken voor nep -productlijsten en zware kortingen. CTM360 zei dat het niet minder dan 5.000 URL’s identificeerde die zijn ingesteld met een intentie om de malware-raced-app te downloaden door deze te adverteren als Tiktok Shop.
“De zwendel bootst legitieme Tiktok-winkelactiviteiten na nepadvertenties, profielen en AI-gegenereerde inhoud na, waardoor gebruikers zich bezighouden met malware te distribueren,” merkte het bedrijf op. “Valse advertenties worden op grote schaal verspreid op Facebook en Tiktok, met AI-gegenereerde video’s die echte promoties nabootsen om gebruikers met zwaar korting aan te trekken.”
De frauduleuze regeling werkt met drie motieven in gedachten, hoewel het einddoel financieel gewin is, ongeacht de illegale strategie voor het genereren van inkomsten:
- Kopers en gelieerde programma’s bedriegen (makers die producten promoten in ruil voor een commissie over verkoop die is gegenereerd via de gelieerde links) met nep- en kortingsproducten en hen vragen om betalingen te doen in cryptocurrency
- Overtuigende partner deelnemers om nepportefeuilles ter plaatse te “aanvullen” met cryptocurrency, onder de belofte van toekomstige commissie-uitbetalingen of opnamebonussen die nooit uitkomen
- Het gebruik van nep Tiktok Shop -inlogpagina’s om gebruikersreferenties te stelen of ze te instrueren om Trojanized Tiktok -apps te downloaden
De kwaadaardige app, eenmaal geïnstalleerd, vraagt het slachtoffer om hun referenties in te voeren met behulp van hun e-mailgebaseerde account, alleen om herhaaldelijk een opzettelijke poging van de dreigingsactoren te laten falen om ze een alternatieve inlog te presenteren met behulp van hun Google-account.
Deze aanpak is waarschijnlijk bedoeld om traditionele authenticatiestromen te omzeilen en het sessietoken te bewapenen dat is gemaakt met behulp van de OAuth-gebaseerde methode voor ongeautoriseerde toegang zonder in-app-e-mailvalidatie. Als de ingelogde slachtoffer probeert toegang te krijgen tot het gedeelte Tiktok winkels, worden ze doorgestuurd naar een nep-inlogpagina die om hun referenties vraagt.
Ook ingebed in de app is Sparkkitty, een malware die in staat is om vingerafdrukken van apparaat te gebruiken en technieken voor optische karakterherkenning (OCR) te gebruiken om screenshots te analyseren in de fotogalerij van een gebruiker voor cryptocurrency-portemonnee zaadfrases en deze te exfiltreren naar een aanvaller-gecontroleerde server.
De openbaarmaking komt omdat het bedrijf ook een andere targeting -phishing -campagne heeft gedetailleerd genaamd Cyberheist Phish die Google -advertenties en duizenden phishing -links gebruikt naar DUPE -slachtoffers die op zoek zijn naar bedrijfslocaties op het bedrijfsleven om te worden omgeleid tot schijnbaar goedaardige pagina’s die het gerichte bankinlogportaal nabootsen en zijn gemaakt om hun schrift te stelen.
“Deze phishing-operatie is bijzonder geavanceerd vanwege zijn ontwijkende, selectieve aard en de real-time interactie van de dreigingsacteurs met het doelwit om tweefactor-authenticatie te verzamelen op elke fase van login, het creëren van begunstigde en fondsoverdracht,” zei CTM360.
In de afgelopen maanden hebben phishingcampagnes zich ook gericht op Meta Business Suite -gebruikers als onderdeel van een campagne genaamd Meta Mirage die gebruik maakt van nep -beleidsovertredingen e -mailwaarschuwingen, advertentie -accountbeperkingsberichten en misleidende verificatieaanvragen verdeeld via e -mail en directe berichten om slachtoffers naar referenties en cookie te oogsten worden gehost op Vercel, GitHub -pagina’s, Netlify, en Firebase.
“Deze campagne richt zich op het compromitteren van hoogwaardige zakelijke activa, inclusief AD-accounts, geverifieerde merkpagina’s en toegang op beheerdersniveau binnen het platform,” voegde het bedrijf eraan toe.
Deze ontwikkelingen vallen samen met een advies van het Amerikaanse ministerie van Financial Crimes Enforcement Network (FINCEN) van de Treasury, en dringen er bij financiële instellingen op aan waakzaam te zijn bij het identificeren en rapporteren van verdachte activiteiten waarbij converteerbare virtuele valuta (CVC) kiosken betrokken zijn om fraudebestrijding en andere illegale activiteiten te bestrijden.
“Criminelen zijn meedogenloos in hun inspanningen om geld van slachtoffers te stelen, en ze hebben geleerd om innovatieve technologieën zoals CVC -kiosken te benutten,” zei Fincen -directeur Andrea Gacki. “De Verenigde Staten zijn toegewijd aan het beschermen van het digitale activa -ecosysteem voor legitieme bedrijven en consumenten, en financiële instellingen zijn een cruciale partner in die inspanning.”
