Checkmarx’taki siber güvenlik analistleri, bilgisayar korsanları tarafından insanları kendilerinden özel bilgileri çalan kötü amaçlı yazılımları indirmeleri için kandırmak için popüler bir TikTok mücadelesinin kullanıldığını doğruladı.
Şu anda, bu meydan okumanın #invisiblefilter etiketi 25 milyondan fazla görüntülendi ve TikTok’un en popüler meydan okumalarından biri.
Kötü Amaçlı Görünmez Meydan Okuma TikTok’ta
Bilgisayar korsanları, TikTok’taki Invisible Challenge trendinden yararlanarak bu kötü niyetli kampanyayı yürütüyor. Bu meydan okuma sırasında, katılımcılara görünmez bir beden fikrini simüle eden özel bir efekt kullanılarak çıplak poz vermeleri istenir.
Bu efektte, bir kişinin görüntüsü bulanık ve bulanık bir efektle konturlu görünür. Görünüşe göre insanlar, kamera merceğini kapatan filtreyle, görünüşte çıplak olan videolarını yayınlıyor.
Tehdit aktörleri, başkaları tarafından kullanılan vücut maskeleme etkisini ortadan kaldırdığı iddia edilen, özel olarak formüle edilmiş “filtresiz” bir filtre sunan TikTok videoları oluşturarak bu güvenlik açığından yararlandı.
Kısacası bu yeni filtrenin, bu akımı kullanan TikTokçuların çıplak vücutlarını ortaya çıkaracağını iddia ediyorlar. Ancak gerçekte, bu “filtrelemeyi kaldıran” filtre yazılımı, aşağıdaki kötü amaçlı yazılımı hedef sisteme yükleyen sahte bir araçtır:-
- WASP Hırsızı (Discord Token Grabber)
Bu kötü amaçlı yazılım, aşağıdaki kullanıcıların verilerini çalabilir:-
- Anlaşmazlık hesapları
- şifreler
- Tarayıcılarda kayıtlı kredi kartları
- Kripto para cüzdanları
- Diğer gerekli dosyalar
Hacker’lar TikTok Trendlerini Suistimal Ediyor
Bu videolar yayınlandıktan kısa bir süre sonra bir milyondan fazla kişi tarafından izlendi. Tehdit aktörünün Discord sunucularından birinde 31.000’den fazla üye kayıtlı.
Saldırganların, her seferinde aralarında hızla bir milyonun üzerinde görüntülenme toplayan iki TikTok videosu yayınladığı tespit edildi. Tespit edilmiştir ki [@learncyber] ve [@kodibtc] kötü amaçlı yazılımı tanıtmak için tanıtım videoları oluşturan iki kullanıcı: –
Alan Filtresini Kaldır
Kurbanlar, sunucuya girer girmez Discord’daki “Nadeko” adlı bir bottan bir bağlantı alır. Bağlantı, kullanıcıyı kötü amaçlı yazılım içeren bir GitHub deposuna yönlendirir.
Bu saldırıda kullanılan kötü amaçlı GitHub projesi, saldırının başarısı nedeniyle “trend GitHub projesi” statüsüne kavuşmuş görünüyor.
O zamandan beri yeniden adlandırılsa da projede şu anda 103 yıldız ve 18 çatal var.
Teknik Analiz
Proje dosyaları, çalıştırıldığında aşağıdakileri yükleyen bir Windows toplu iş dosyası (.bat) içeriyordu: –
- Kötü amaçlı bir Python paketi (WASP indiricisi)
- Beni Oku dosyası
Beni Oku dosyası, kurbanlara kötü niyetli TikTok “filtresiz” yazılımını yüklemeleri için adım adım rehberlik sunan bir YouTube videosunun bağlantısını içerir.
Bu kampanyada bilgisayar korsanları tarafından kullanılan birkaç Python paketi vardı ve bunların tümü PyPI’da barındırılıyor. Aşağıda, bilgisayar korsanları tarafından kullanılan bazı Python paketlerinden bahsettik: –
- tiktok-filtre-api
- pyshftuler
- pyiopcs
- pydesings
Saldırganlar söz konusu olduğunda, kötü amaçlı paket, kötü amaçlı uygulamasıyla ilişkili GitHub deposunu aşağıdaki gibi tahrif etmek için kullanıldı:
- https[:]//github.com/psf/requests
Ancak bu, “istekler” modülüne ait bir Python paketidir. Bu, yalnızca paketin genel kullanıcıların gözünde popüler ve meşru görünmesini sağlamak amacıyla yapılır.
Kötü amaçlı pakette bulunan orijinal kodun bir kopyası var. Bununla birlikte, saldırganların kötü amaçlı yazılım yüklemek için ana bilgisayarın ağ bağlantılarını kullanmasını mümkün kılan bir değişiklik de vardır.
Bu kötü amaçlı yazılımın Discord sunucusuna katılan çok sayıda kullanıcı tarafından yüklenme olasılığı yüksektir ve bu senaryo oldukça endişe vericidir.
Tehdit aktörlerinin, Discord sunucusu “Unfilter Space”i çevrimdışı duruma getirdikten sonra başka bir sunucuya taşındığı bildirildi. Siber saldırganlar bir kez daha açık kaynaklı paketlere saldırmanın yollarını bularak dikkatlerini bu ekosistemlere odakladıklarını bir kez daha gösterdiler.