Checkmarx’ın yeni araştırmasına göre tehdit aktörleri, kullanıcıları bilgi çalan kötü amaçlı yazılım indirmeleri için kandırmak için popüler bir TikTok mücadelesinden yararlanıyor.
Invisible Challenge adı verilen trend, arkasında yalnızca kişinin vücudunun bir siluetini bırakan Görünmez Beden adlı bir filtrenin uygulanmasını içeriyor.
Ancak bu tür videoları çeken kişilerin soyunabilecekleri gerçeği, saldırganların, uygulanan filtreleri kaldırdığını iddia eden “filtresiz” adlı haydut yazılım bağlantılarıyla TikTok videoları yayınladığı alçakça bir plana yol açtı.
Checkmarx araştırmacısı Guy Nachshon Pazartesi günü yaptığı bir analizde, “‘filtreyi kaldıran’ yazılımın, kötü amaçlı Python paketlerinin içinde saklanan WASP hırsızı kötü amaçlı yazılımını dağıtmasına yönelik talimatlar,” dedi.
WASP hırsızı (diğer adıyla W4SP Stealer), kullanıcıların parolalarını, Discord hesaplarını, kripto para cüzdanlarını ve diğer hassas bilgilerini çalmak için tasarlanmış bir kötü amaçlı yazılımdır.
Saldırganlar @learncyber ve @kodibtc tarafından 11 Kasım 2022’de yayınlanan TikTok videolarının bir milyondan fazla izlenmeye ulaştığı tahmin ediliyor. Hesaplar askıya alındı.
Videoda ayrıca, şikayet edilip silinmeden önce yaklaşık 32.000 üyesi olan, düşman tarafından yönetilen bir Discord sunucusuna davet bağlantısı da yer alıyor. Discord sunucusuna katılan kurbanlar daha sonra kötü amaçlı yazılımı barındıran bir GitHub deposuna bir bağlantı alır.
Saldırgan, o zamandan beri projeyi “Nitro-jeneratör” olarak yeniden adlandırdı, ancak Discord’daki yeni üyeleri projeye başlamaya teşvik ederek 27 Kasım 2022’de GitHub’ın Trend Depoları listesine girmeden önce değil.
Depo adını değiştirmenin yanı sıra, tehdit aktörü projedeki eski dosyaları sildi ve yenilerini yükledi; bunlardan biri Python kodunu “(sic) açık kaynak, **VİRÜS** değil” olarak tanımlıyor.
Hırsız kodunun “tiktok-filter-api”, “pyshftuler”, “pyiopcs” ve “pydesings” gibi çeşitli Python paketlerine gömüldüğü söyleniyor ve operatörler Python Paket Dizininde (PyPI) yeni değiştirmeleri hızla yayınlıyor. ) kaldırıldıktan sonra farklı isimler altında.
Nachshon, “Saldırganlar giderek daha akıllı hale geldikçe, yazılım tedarik zinciri saldırganları tarafından kullanılan manipülasyon seviyesi de artıyor” dedi. “Bu saldırılar, siber saldırganların dikkatlerini açık kaynak paket ekosistemine odaklamaya başladığını bir kez daha gösteriyor.”