Atores maliciosos estão visando contas do TikTok for Business em uma campanha de phishing que impede que bots de segurança analisem páginas maliciosas.
As contas comerciais do TikTok podem ser alvo de ataques devido ao seu alto potencial de abuso em campanhas de malvertising, fraude publicitária e distribuição de conteúdo malicioso.
A Push Security, empresa de detecção e resposta a ameaças em navegadores, relaciona a campanha a uma já documentada no ano passado, que tinha como alvo contas do Google Ad Manager.
O TikTok já foi usado para disseminar malware que rouba informações por meio de vídeos maliciosos, bem como golpes com criptomoedas através de promoções falsas . As contas do TikTok para empresas são ideais para esses fins devido ao seu maior alcance e à legitimidade percebida.
Em um relatório compartilhado com o BleepingComputer, a Push Security afirma que as vítimas são atraídas para páginas de phishing hospedadas na Cloudflare e registradas em 24 de março por meio da NiceNIC, um registrador frequentemente denunciado por pesquisadores de segurança cibernética por ser usado para atividades cibercriminosas.
A Push Security não conseguiu determinar o mecanismo de entrega inicial, mas acredita que o agente da ameaça utiliza um método semelhante ao observado nas atividades relatadas pela Sublime Security .
O link inicial redireciona através de um URL legítimo do Google Storage, bloqueia bots usando uma verificação do Cloudflare Turnstile e, em seguida, redireciona para as páginas maliciosas.
Os domínios apresentam nomes semelhantes e estão todos hospedados no mesmo bucket do Google Storage:
- welcome.careerscrews[.]com
- bem-vindo.funcionáriodecarreira[.]com
- bem-vindo.carreirasfluxodetrabalho[.]com
- welcome.careerstransform[.]com
- bem-vindo.careersupskill[.]com
- bem-vindo.sucessonacarreira[.]com
- welcome.careersstaffgrid[.]com
- bem-vindo.progressonacarreira[.]com
- bem-vindo.careersgrower[.]com
- welcome.careersengage[.]com
- welcome.careerscrews[.]com
As páginas maliciosas se fazem passar pelas páginas “Agendar uma chamada” do TikTok for Business e do Google Careers, solicitando aos visitantes que insiram informações básicas em um formulário para validar se estão usando um endereço de e-mail comercial.
Fonte: Push Security
Após essa etapa, as vítimas são direcionadas para uma página de login falsa, que é um proxy reverso projetado para capturar credenciais e cookies de sessão e exfiltrá-los para o atacante.
Como a página atua como intermediária entre o usuário legítimo e o serviço, o agente malicioso pode sequestrar contas mesmo quando a autenticação de dois fatores (2FA) está ativa.
Fonte: Push Security
A Push Security também observa que os titulares de contas comerciais costumam fazer login no TikTok por meio do serviço de login único (SSO) do Google. “Isso significa que qualquer pessoa que use o Google para fazer login em sua conta do TikTok terá efetivamente as duas contas usadas para distribuir anúncios comprometidas de uma só vez.”
Os usuários devem ser extremamente cautelosos com convites e ofertas de emprego suspeitos e nunca confiar em links enviados por contatos desconhecidos. Sempre verifique o domínio antes de inserir suas credenciais e use senhas para proteger contas importantes.
