builderall


Investigadores de ciberseguridad han revelado una campaña maliciosa generalizada que apunta a usuarios de TikTok Shop a nivel mundial con el objetivo de robar credenciales y distribuir aplicaciones troyanizadas.


"Los actores de amenazas están explotando la plataforma oficial de comercio electrónico dentro de la aplicación mediante una estrategia de ataque dual que combina phishing y malware para atacar a los usuarios", declaró CTM360 . "La táctica principal consiste en una réplica engañosa de TikTok Shop que engaña a los usuarios haciéndoles creer que están interactuando con un afiliado legítimo o con la plataforma real".


La campaña de estafa ha sido bautizada como ClickTok por la empresa de ciberseguridad con sede en Bahréin y denuncia la estrategia de distribución multifacética del actor de amenazas que involucra anuncios Meta y videos de TikTok generados con inteligencia artificial (IA) que imitan a personas influyentes o embajadores oficiales de la marca.


Un elemento central de esta iniciativa es el uso de dominios similares a las URL legítimas de TikTok. Hasta la fecha, se han identificado más de 15 000 sitios web suplantados. La gran mayoría de estos dominios están alojados en dominios de nivel superior como .top, .shop y .icu.


Estos dominios están diseñados para alojar páginas de destino de phishing que roban credenciales de usuario o distribuyen aplicaciones falsas que implementan una variante de un malware multiplataforma conocido llamado SparkKitty que es capaz de recopilar datos de dispositivos Android e iOS.


Además, muchas de estas páginas de phishing incitan a los usuarios a depositar criptomonedas en tiendas fraudulentas mediante la publicidad de productos falsos y grandes descuentos. CTM360 afirmó haber identificado al menos 5000 URL configuradas para descargar la aplicación infectada con malware, anunciándola como TikTok Shop.


La estafa imita la actividad legítima de la tienda TikTok mediante anuncios, perfiles y contenido generado por IA falsos, engañando a los usuarios para que interactúen y distribuyan malware, señaló la compañía. Los anuncios falsos circulan ampliamente en Facebook y TikTok, presentando videos generados por IA que imitan promociones reales para atraer a los usuarios con grandes descuentos.


Estafa impulsada por IA


El esquema fraudulento opera con tres motivos en mente, aunque el objetivo final es el beneficio económico, independientemente de la estrategia de monetización ilícita empleada:



La aplicación maliciosa, una vez instalada, solicita a la víctima que ingrese sus credenciales usando su cuenta de correo electrónico, solo para fallar repetidamente en un intento deliberado por parte de los actores de la amenaza de presentarles un inicio de sesión alternativo usando su cuenta de Google.


Es probable que este enfoque busque eludir los flujos de autenticación tradicionales y utilizar el token de sesión creado con el método basado en OAuth para accesos no autorizados sin necesidad de validación de correo electrónico en la aplicación. Si la víctima iniciada intenta acceder a la sección de la Tienda de TikTok, se le redirige a una página de inicio de sesión falsa que solicita sus credenciales.


La aplicación también incluye SparkKitty, un malware capaz de tomar huellas dactilares del dispositivo y utilizar técnicas de reconocimiento óptico de caracteres (OCR) para analizar capturas de pantalla en la galería de fotos de un usuario en busca de frases semilla de billeteras de criptomonedas y exfiltrarlas a un servidor controlado por el atacante.


La revelación se produce cuando la compañía también detalló otra campaña de phishing dirigida denominada CyberHeist Phish que utiliza anuncios de Google y miles de enlaces de phishing para engañar a las víctimas que buscan sitios de banca en línea corporativos para ser redirigidos a páginas aparentemente benignas que imitan el portal de inicio de sesión bancario específico y están diseñadas para robar sus credenciales.


"Esta operación de phishing es particularmente sofisticada debido a su naturaleza evasiva y selectiva y a la interacción en tiempo real de los actores de la amenaza con el objetivo para recopilar autenticación de dos factores en cada etapa de inicio de sesión, creación de beneficiario y transferencia de fondos", dijo CTM360 .


En los últimos meses, las campañas de phishing también se han dirigido a los usuarios de Meta Business Suite como parte de una campaña llamada Meta Mirage que utiliza alertas de correo electrónico falsas de violación de políticas, avisos de restricción de cuentas publicitarias y solicitudes de verificación engañosas distribuidas por correo electrónico y mensajes directos para llevar a las víctimas a páginas de recolección de credenciales y cookies alojadas en Vercel, GitHub Pages, Netlify y Firebase.


"Esta campaña se centra en comprometer activos comerciales de alto valor, incluidas cuentas publicitarias, páginas de marca verificadas y acceso de nivel de administrador dentro de la plataforma", agregó la compañía .


Estos acontecimientos coinciden con un aviso de la Red de Control de Delitos Financieros (FinCEN) del Departamento del Tesoro de Estados Unidos, que insta a las instituciones financieras a estar alerta para identificar y denunciar actividades sospechosas relacionadas con quioscos de moneda virtual convertible (CVC) en un intento de combatir el fraude y otras actividades ilícitas.


"Los delincuentes son implacables en sus esfuerzos por robar el dinero de sus víctimas y han aprendido a explotar tecnologías innovadoras como los quioscos CVC", declaró la directora de FinCEN, Andrea Gacki. "Estados Unidos se compromete a salvaguardar el ecosistema de activos digitales para empresas y consumidores legítimos, y las instituciones financieras son un socio fundamental en ese esfuerzo".


Fuente: Thehackernews.