Siber güvenlik araştırmacıları, Tiktok dükkanı kullanıcılarını küresel olarak kimlik bilgilerini çalmak ve truva atışlarını dağıtmak amacıyla hedefleyen yaygın bir kötü niyetli kampanyada perdeyi kaldırdı.
CTM360, “Tehdit aktörleri, kimlik avı ve kötü amaçlı yazılımları hedef kullanıcıları birleştiren ikili bir saldırı stratejisi aracılığıyla resmi uygulama içi e-ticaret platformundan yararlanıyor.” Dedi. “Çekirdek taktik, kullanıcıları meşru bir bağlı kuruluş veya gerçek platformla etkileşime girdiklerini düşünmeye yönlendiren Tiktok Mağazası’nın aldatıcı bir kopyasını içeriyor.”
Aldatma kampanyası kodlandı Clicktok Bahreyn merkezli siber güvenlik şirketi tarafından, tehdit oyuncusunun etkileyicileri veya resmi marka elçilerini taklit eden meta reklamlar ve yapay zeka (AI) jenerasyonlu Tiktok videolarını içeren çok yönlü dağıtım stratejisini çağırıyor.
Çabanın merkezinde, meşru tiktok url’lerine benzeyen benzeri alanların kullanılmasıdır. Bugüne kadar 15.000’den fazla bu tür taklit web sitesi tespit edilmiştir. Bu alanların büyük çoğunluğu .top, .shop ve .icu gibi üst düzey alanlarda barındırılır.
Bu alanlar, hem Android hem de iOS cihazlarından veri toplayabilen Sparkkitty adlı bilinen bir platformlar arası kötü amaçlı yazılımın bir varyantını dağıtan kullanıcı kimlik bilgilerini çalan veya sahte uygulamaları dağıtan kimlik avı açılış sayfalarını barındıracak şekilde tasarlanmıştır.
Dahası, bu kimlik avı sayfalarının bir kısmı, kullanıcıları sahte ürün listeleri ve ağır indirimler reklamı yaparak hileli vitrinlere kripto para yatırmaya teşvik ediyor. CTM360, Tiktok Shop olarak reklam vererek kötü amaçlı yazılım uygulamasını indirmek amacıyla kurulmuş 5.000’den az URL belirlediğini söyledi.
Şirket, “aldatmaca, sahte reklamlar, profiller ve AI tarafından oluşturulan içerik aracılığıyla meşru Tiktok dükkanı etkinliğini taklit ederek kullanıcıları kötü amaçlı yazılım dağıtmak için tutmaya kandırıyor.” “Sahte reklamlar, Facebook ve Tiktok’ta yaygın olarak dolaşıyor ve yoğun indirimli tekliflerle kullanıcıları çekmek için gerçek promosyonları taklit eden AI tarafından oluşturulan videolar sunuyor.”
Hileli şema, kullanılan yasadışı para kazanma stratejisine bakılmaksızın nihai hedef finansal kazançtır, ancak üç güdü göz önünde bulundurularak çalışır:
- Allayıcıları ve bağlı kuruluş programı satıcılarını (ortaklık bağlantıları aracılığıyla üretilen satışlar karşılığında ürünleri tanıtan yaratıcılar) sahte ve indirimli ürünlerle ve kripto para biriminde ödeme yapmalarını istemek
- İştirakçi katılımcılarını, gelecekteki komisyon ödemeleri veya asla gerçekleşmeyen para çekme bonusları vaadi altında, kripto para birimi ile sahte saha cüzdanları “doldurmaya” ikna etmek
- Kullanıcı kimlik bilgilerini çalmak için sahte tiktok dükkanı oturum açma sayfaları kullanma veya onlara truva atlı tiktok uygulamalarını indirmelerini söyleyin
Kötü niyetli uygulama, bir kez yüklendikten sonra, mağdurun e-posta tabanlı hesaplarını kullanarak kimlik bilgilerini girmesini ister, yalnızca tehdit aktörlerinin Google hesaplarını kullanarak alternatif bir giriş sunmaları için kasıtlı bir girişimde tekrar tekrar başarısız olmasını ister.
Bu yaklaşım muhtemelen geleneksel kimlik doğrulama akışlarını atlamak ve uygulama içi e-posta doğrulaması gerekmeden yetkisiz erişim için OAuth tabanlı yöntem kullanılarak oluşturulan oturum jetonunu silahlandırmak içindir. Oturum açılan kurban Tiktok Mağazası bölümüne erişmeye çalışırsa, kimlik bilgilerini isteyen sahte bir giriş sayfasına yönlendirilirler.
Ayrıca, uygulamanın içine, bir kullanıcının kripto para birimi cüzdan tohumu ifadeleri için fotoğraf galerisindeki ekran görüntülerini analiz etmek ve bunları saldırgan kontrollü bir sunucuya eksfiltring yapmak için cihaz parmak izi ve optik karakter tanıma (OCR) tekniklerini kullanabilen bir kötü amaçlı yazılım yer almaktadır.
Açıklama, şirketin, Google reklamlarını kullanan Cyberheist Phish olarak adlandırılan başka bir hedefleme kampanyasını ve kurumsal çevrimiçi bankacılık sitelerini arayan ve hedeflenen bankacılık giriş portalını taklit eden görünüşte iyi huylu sayfalara yönlendirilecek binlerce kimlik avı bağlantısını detaylandırdığı ve kimliklerini geliştirmek için hazırlanmıştır.
CTM360, “Bu kimlik avı operasyonu, kaçış, seçici doğası ve tehdit aktörlerinin giriş, faydalanıcı yaratma ve fon transferinin her aşamasında iki faktörlü kimlik doğrulama toplamak için hedefle gerçek zamanlı etkileşimi nedeniyle özellikle sofistike.” Dedi.
Son aylarda, kimlik avı kampanyaları, Meta Business Suite kullanıcılarını, sahte politika ihlali e -posta uyarıları, reklam hesabı kısıtlama bildirimleri ve mağdurlara yönlendirilen e -posta ve doğrudan mesajlar ile dağıtılan aldatıcı doğrulama istekleri, vercel ve kurabiye hasat sayfalarına ev sahipliği yapmak için Meta Mirage adlı bir kampanyanın bir parçası olarak hedefledi.
Şirket, “Bu kampanya, reklam hesapları, doğrulanmış marka sayfaları ve platform içindeki yönetici düzeyinde erişim de dahil olmak üzere yüksek değerli işletme varlıklarından ödün vermeye odaklanıyor.”
Bu gelişmeler, ABD Hazinesi Mali Suçlar Uygulama Ağı’ndan (FINCEN) bir danışmanlık ile çakışır ve finansal kurumları, dönüştürülebilir sanal para (CVC) kiosklarını sahtekarlık ve diğer yasadışı faaliyetlerle mücadele etmek amacıyla belirleme ve raporlamada uyanık olmaya çağırır.
Fincen direktörü Andrea Gacki, “Suçlular kurbanlardan para çalma çabalarında acımasız ve CVC kiosklar gibi yenilikçi teknolojilerden yararlanmayı öğrendiler.” Dedi. “Amerika Birleşik Devletleri, meşru işletmeler ve tüketiciler için dijital varlık ekosistemini korumaya kararlıdır ve finansal kurumlar bu çabanın kritik bir ortağıdır.”