Los investigadores de ciberseguridad lo han presentado con una amplia gama de campañas maliciosas que se dirigen a los usuarios de Tiktok Shop en todo el mundo con el objetivo de robar calificaciones y distribuir aplicaciones trailizadas.
«Los actores de amenaza están aprovechando la plataforma oficial de comercio electrónico en la aplicación a través de estrategias de doble ataque dirigido a phishing y malware», dijo CTM360. «Las tácticas centrales incluyen réplicas engañosas de Tiktokshop que hacen que los usuarios piensen que están interactuando con afiliados legítimos y plataformas reales».
La campaña de fraude, llamada ClickTok por una compañía de ciberseguridad con sede en Bahrein, exige una estrategia de distribución multifacética de actores de amenazas que imitan a influencers o embajadores oficiales de la marca generados por meta anuncios e inteligencia artificial (IA).
El núcleo del esfuerzo es el uso de dominios que se ven similares a las URL legítimas de Tiktok. Hasta la fecha, se han identificado más de 15,000 sitios web con tales suplantado. La mayoría de estos dominios están alojados en dominios de alto nivel, como .top, .shop y .icu.
Estos dominios están diseñados para robar las credenciales de los usuarios para implementar una variante de malware multiplataforma conocido llamado SparkKitty, que puede cosechar datos de dispositivos Android e iOS, o para alojar páginas de destino de phishing que distribuyen aplicaciones falsas.
Además, algunas de estas páginas de phishing conducirán a depositar la criptomoneda en tiendas fraudulentas mediante la promoción de listas de productos falsos y grandes descuentos. Al anunciarlo como una tienda Tiktok, CTM360 dijo que ha identificado más de 5,000 URL establecidos con la intención de descargar aplicaciones cubiertas de malware.
«Creemos que las estafas imitan las actividades legítimas de Tictock Shop a través de anuncios falsos, perfiles y contenido generado por IA, y los usuarios están involucrados en la distribución de malware», dijo la compañía. «Los anuncios falsos se distribuyen ampliamente en Facebook y Tiktok, imitando videos que imitan las promociones reales y atraen a los usuarios con ofertas significativamente reducidas».
Un esquema fraudulento funciona con tres motivaciones en mente, pero el objetivo final son los beneficios económicos, independientemente de la estrategia de monetización ilegal empleada.
No disfrazará a los compradores y a los vendedores de programas afiliados (creadores que promueven productos que promueven productos a cambio de comités de ventas generados a través de enlaces de afiliados) con productos con descuento y usan futuros comités en participantes afiliados para que se vayan a usar acuerdos falsos. Le indica que descargue la aplicación Tikanized Tiktok
Una vez instaladas, las aplicaciones maliciosas le pedirán a la víctima que ingrese sus credenciales utilizando una cuenta basada en el correo electrónico. Esta es una falla repetida de un actor de amenaza que usa una cuenta de Google para presentar un inicio de sesión alternativo.
Este enfoque tiene como objetivo evitar los flujos de autenticación tradicionales y armar los tokens de sesión creados utilizando métodos basados en OAuth para el acceso no autorizado sin la necesidad de la verificación de correo electrónico en la aplicación. Si una víctima iniciada intenta acceder a la sección Tiktok Shop, se dirigirá a una página de inicio de sesión falsa que solicite calificaciones.
También está integrada en la aplicación Sparkkitty, una técnica de malware (OCR) que utiliza huellas dactilares de dispositivos y técnicas de reconocimiento de caracteres ópticos (OCR) para analizar capturas de pantalla en la galería de fotos del usuario, analizar capturas de capturas de frases de semillas de billetera de criptomonedas y rodeadas por servidores de control de atacantes.
La divulgación se produce cuando detallamos otra campaña de phishing dirigida llamada Cyberheist Phish, que utiliza anuncios de Google y miles de enlaces de phishing, y otra campaña de phishing dirigida que busca víctimas de Dupe que buscan un sitio de banca corporativa en línea para imitar el portal de inicio de sesión bancario objetivo y redirigirlas para coordinar las páginas creadas para robar.
«Esta operación de phishing es particularmente sofisticada para recolectar autenticación de dos factores en cada etapa de inicio de sesión, creación de beneficiarios y transferencia de fondos debido a su naturaleza evasiva y selectiva e interacción en tiempo real con objetivos de actores de amenaza», dijo CTM360.
En los últimos meses, las campañas de phishing se han dirigido a los usuarios de Metabusiness Suite como parte de una campaña llamada Metamirage, que utiliza solicitudes de verificación engañosas que llevan a las víctimas a sus elegibilidad y páginas de cosecha de cookies utilizando alertas de correo electrónico de violación de políticas falsas, notificaciones de restricción de cuenta de anuncios, solicitudes de verificación de engañados distribuidas por correo electrónico y mensajes directos.
«La campaña se centra en erosionar los activos comerciales de alto valor, incluidas las cuentas publicitarias, las páginas de marca verificadas y el acceso a nivel de administración dentro de la plataforma», agregó la compañía.
Estos desarrollos coinciden con las recomendaciones de la Red de Control de Delitos Financieros (FINCEN) del Departamento del Tesoro de los Estados Unidos, que alienta a las instituciones financieras a identificar e informar actividades sospechosas que los quioscos convertibles de criptomonedas (CVC) luchan contra el fraude y otras actividades ilegales.
«Los delincuentes han sido menos en sus esfuerzos por robar dinero a las víctimas y han aprendido a utilizar tecnologías innovadoras como los quioscos CVC», dijo Andrea Gakki, directora de Finsen. «Estados Unidos se compromete a proteger el ecosistema de activos digitales para empresas legales y consumidores, y las instituciones financieras son socios clave en sus esfuerzos».
Source link
