“ClickTok” olarak adlandırılan sofistike bir siber suç kampanyası, dünya çapında Tiktok Shop kullanıcılarını hedefleyen en kapsamlı tehditlerden biri olarak ortaya çıktı ve araştırmacılar, kullanıcı kimlik bilgilerini çalmak ve gelişmiş casus yazılımları dağıtmak için tasarlanmış 10.000’den fazla kötü niyetli alan tanımladı.
Kampanya, Tiktok’un uygulama içi alışveriş platformunun artan popülaritesinden yararlanmak için geleneksel kimlik avı tekniklerini en son kötü amaçlı yazılım dağılımıyla birleştirerek e-ticaret odaklı siber saldırılarda önemli bir yükselmeyi temsil ediyor.
ClickTok’un arkasındaki tehdit aktörleri, hem normal alışverişçileri hem de Tiktok’un bağlı kuruluş programına katılımcıları hedefleyen çift uçlu bir saldırı stratejisi geliştirdi.
.webp)
Kampanya, meşru Tiktok mağaza arayüzlerinin aldatıcı kopyalarını kullanıyor ve kullanıcıları resmi platform özellikleriyle etkileşime girdiklerine inanıyor.
Bu hileli yerler, Tiktok Toptan ve Tiktok Alışveriş Merkezi’nin sahte versiyonlarını içerecek şekilde basit Tiktok Dükkanı Taklitinin ötesine uzanıyor ve kurban katılımını en üst düzeye çıkarmak için tasarlanmış kötü niyetli vitrinlerin kapsamlı bir ekosistemini yaratıyor.
.webp)
CTM360 analistleri, kampanyayı Ağustos 2025’te tanımladılar ve hem Tiktok’un markasına verdiği güvenden yararlanan operasyonun sofistike doğasını ve bağlı kuruluş pazarlama programlarıyla ilişkili finansal teşvikleri ortaya koydu.
Araştırmacılar, tehdit aktörlerinin kötü niyetli yüklerini 5.000’den fazla farklı uygulama indirme sitesi aracılığıyla dağıttıklarını, truva işlemlerinin yaygın olarak dağıtılmasını kolaylaştırmak için gömülü indirme bağlantıları ve QR kodları kullanarak dağıttıklarını keşfettiler.
Saldırı metodolojisi, ikili amaçlara hizmet eden .top, .shop ve .icu gibi düşük maliyetli üst düzey alanlar kullanarak benzeyen alanlar oluşturmayı içerir: kimlik avı sayfalarını kimlik bilgisi hırsızlığı için barındırma ve kötü niyetli uygulamalar dağıtma.
Bu alanlar genellikle paylaşılan veya ücretsiz barındırma hizmetlerinde barındırılır, bu da onları saldırganlar için uygun maliyetli hem de savunucuların kapsamlı bir şekilde izlemesi zorlayıcıdır.
Kampanyanın küresel erişimi, Tiktok Shop’un resmi olarak mevcut olduğu 17 ülkenin çok ötesine uzanıyor ve AI tarafından oluşturulan içerik ve sahte sosyal medya reklamları aracılığıyla dünya çapında kullanıcıları hedefliyor.
Teknik Altyapı ve Komuta ve Kontrol İşlemleri
Bu kampanya yoluyla dağıtılan kötü amaçlı uygulamalar, saldırgan kontrollü altyapı ile kalıcı iletişim kuran Sparkkitty casus yazılımlarının bir varyantını dağıtıyor.
Kötü amaçlı yazılımın ayrışması, sabit kodlu komut ve kontrol sunucularını ortaya çıkarır, birincil uç nokta uygulamanın kaynak koduna statik olarak gömülüdür:-
URL url = new URL("https://aa.6786587.top/?dev=az");Bu sert kodlanmış yaklaşım, daha karmaşık bir kötü amaçlı yazılım tipik olarak dinamik C2 rotasyon tekniklerini kullandığı için olgunlaşmamış bir tehdit aktörü veya erken aşama gelişimi önermektedir.
Kötü amaçlı yazılım, Tiktok Kullanıcı Kimlikleri ve Oturum Tokenleri (Phpsessid) dahil olmak üzere hasat verileri içeren Post göndererek ve talepleri alarak iletişimi başlatır.
.webp)
C2 sunucusu, dinamik yapılandırmalar, kampanya tanımlayıcıları ve belirli enfeksiyonlara göre uyarlanmış komut talimatları içeren Base64 kodlu yüklerle yanıt verir.
Spyware’in birincil özellikleri, özellikle enfekte olmuş cihazlarda depolanan kripto para ile ilgili bilgileri hedefleyen veri açığa çıkmasına odaklanır.
Kötü amaçlı yazılım, tohum ifadeleri veya cüzdan bilgileri içerebilen ekran görüntüleri için cihaz galerilerini sistematik olarak kazıyırken, aynı zamanda işletim sistemi detaylarını, cihaz tanımlayıcıları ve saldırganların sunucularına iletim için konum verilerini toplamak için kapsamlı cihaz parmak izi yürütür.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın