Siber güvenlik firması CTM360, “ClickTok” olarak adlandırılan devam eden kötü amaçlı bir işlemi ortaya çıkardı ve özellikle Tiktok Shop kullanıcılarını dünya çapında çift yönlü bir kimlik avı ve kötü amaçlı yazılım dağıtım stratejisi ile hedefliyor.
Bu kampanya, Tiktok’un resmi uygulama içi e-ticaret platformunun aldatıcı kopyalarından yararlanıyor, bağlı kuruluşları ve meşru arayüzleri hem son kullanıcıları (alıcıları) hem de Tiktok Shop bağlı kuruluş programına katılımcıları içeriyor.
Tehdit aktörleri, sahte meta reklamlar ve etkileyicileri veya marka elçilerini taklit eden AI tarafından üretilen Tiktok videoları da dahil olmak üzere gelişmiş taktikler kullanır, kimlik avı bağlantılarını ve truva atlı uygulamaları dağıtırlar.
Saldırganlar, Tiktok Dükkanı’nın ötesinde Tiktok Whoesale ve Tiktok Mall’un hileli versiyonlarına kadar uzanan 10.000’den fazla takviyeli web sitesine ev sahipliği yapan, genellikle.
Bu alanlar, kimlik avı sayfaları aracılığıyla kimlik bilgisi hırsızlığını ve uzatılmış cihazlardan kapsamlı veri söndürme için Sparkkitty casus yazılımlarının bir varyantını yerleştiren kötü amaçlı uygulamaların yayılmasını kolaylaştırır.
Kampanyanın küresel erişimi, Tiktok Shop’un İngiltere, ABD, Endonezya ve çeşitli Avrupa ve Asya pazarları da dahil olmak üzere 17 ülkede resmi kullanılabilirliğini aşıyor ve gömülü indirme bağlantıları, QR kodları ve 5.000’den fazla farklı uygulama dağıtım sitesi aracılığıyla sınırsız bölgelerdeki kullanıcıları sömürmek için hızla genişliyor.
Kimlik avı şablonları
CTM360’ın analizi, Gönderi Modelinden esinlenen bir aldatmaca navigatör çerçevesiyle eşleştirilen kampanyanın sofistike mimarisini ortaya çıkarır ve yedi temel aşamayı tanımlar: kaynak geliştirme, kaçırma, tetik, dağıtım, hedef etkileşim, güdü ve para kazanma.
İki aşamaya ayrılan bu yapı, Sparkkitty kötü amaçlı yazılım şablonlarını dağıtırken algılamadan kaçınmak için saldırganların özel alan adlarını, alt alanlarını ve kimlik avı kitlerini kullanmasını vurgulamaktadır.
Üç birincil kimlik avı şablonu mimik tiktok dükkanı, toptan ve alışveriş merkezi ekosistemleri, kullanıcıları USDT gibi kripto para birimini dolandırıcılık ve fon hırsızlığı için korunan hileli cüzdanlara yatırmaya sahte ürün listeleri ve aciliyet taktikleri cezasını çekiyor.
Ayrı bir kötü amaçlı yazılım tabanlı şablon, bir Tiktok mağazası bağlı kuruluş yönetim platformu olarak poz veriyor ve resmi Tiktok arayüzünü taklit eden truva uygulamalarının indirilmesini sağlıyor.
Bu uygulamalar, e-posta tabanlı kimlik doğrulamayı başarısızlaştırırken ve kimlik bilgilerini ve oturum çerezlerini hasat etmek için yetkisiz WebView öğeleri enjekte ederken Google OAuth erişimini etkinleştirerek standart giriş akışlarından sapar.
Kurulum üzerine, özellikle güvenlik istemlerini atlamak için kullanıcı arayüzü için iOS üzerinde, uygulamalar, base64-coded yükler içeren boncingprints, tiks phpess to to phpess to to-control (c2) iletişim kurar.
Bu, tohum cümleleri veya ekran görüntüleri ve kalıcı cihaz takibi için galeri kazıması dahil olmak üzere veri açığa çıkması için dinamik konfigürasyonları ve tetikleyicileri kolaylaştırır.
Sparkkitty’nin gelişmiş casus yazılım özellikleri
Kampanyanın tetikleyici ve dağıtım mekanizmaları sahte profillere, indirimli teklifleri teşvik eden AI tarafından oluşturulan içeriğe sahip aldatıcı reklamlara ve Facebook, Tiktok, Telegram ve WhatsApp gibi platformlarda tehlikeye atılmış sosyal medya hesaplarına dayanıyor.
Bu öğeler, kullanıcıları kimlik avı URL’lerine veya URL kısaltmalarıyla modifiye uygulama indirmelerini yönlendiren yanlış güvenilirlik oluşturur.
Parasalizasyon, iştiraklerin, geri dönüşü olmayan kripto para transferleri ve hesap kaçırma için kimlik kuşağı yoluyla ödeme hırsızlığının yanı sıra, iştiraklerin komisyon vaatleriyle sahte cüzdanları doldurmaya kandırıldığı önceden ücret aldatmaca ile doğrudan finansal kazançlara odaklanmaktadır.
Gömülü Sparkkitty Trojan, cihaz parmak izi (raporlama işletim sistemi sürümleri, kimlikler ve konumlar) ve görüntü hırsızlığı gibi casus yazılım davranışları sergiler: aşamalarda yürütülen ilk C2, şifreli yapılandırma dosyaları, meta veriler yüklemeleri ve koşullu durumlu put istihdamları ile ilk C2 kontrolleri.
Dinamik rotasyondan yoksun olan uygulamanın Java kodundaki sert kodlanmış C2 altyapısı, tehdit istihbarat sistemleri tarafından tespit için potansiyel güvenlik açıklarını önermektedir.
İlk olarak Kaspersky tarafından tanımlanan bu platformlar arası casus yazılımlar, burada kripto temalı yemlere uyarlanmış, kalıcı uzlaşmayı ve karanlık web pazarlarında çalıntı varlıkların satışını sağlayarak uyarlanmıştır.
CTM360, savunmaların, kampanyanın küresel kullanıcılar üzerindeki etkisini azaltmak için paylaşılan veya ücretsiz barındırma gibi kaçırma taktiklerinden para kazanma uç noktalarına kadar bu yaşam döngüsü aşamalarını hedeflemesi gerektiğini vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!