Злоумышленники нацелились на аккаунты TikTok for Business в рамках фишинговой кампании, которая не позволяет защитным ботам анализировать вредоносные страницы.
Аккаунты TikTok Business могут быть мишенью из-за высокого потенциала их использования в кампаниях вредоносной рекламы (malvertising), мошенничестве с рекламой и распространении вредоносного контента.
Компания Push Security, занимающаяся обнаружением угроз в браузерах и реагированием на них, связывает эту кампанию с одной, задокументированной в прошлом году, которая была направлена на аккаунты Google Ad Manager.
Ранее TikTok использовался для распространения вредоносного ПО для кражи информации через зараженные видео, а также для криптовалютного мошенничества через фальшивые акции. Аккаунты TikTok for Business идеально подходят для таких целей благодаря расширенному охвату и предполагаемой легитимности.
В отчете, предоставленном BleepingComputer, Push Security сообщает, что жертв заманивают на фишинговые страницы, размещенные на Cloudflare и зарегистрированные 24 марта через NiceNIC — регистратора, который, по сообщениям исследователей кибербезопасности, часто используется в преступной деятельности.
Push Security не смогла определить первоначальный механизм доставки, но полагает, что злоумышленник использует схожий метод, замеченный в активности, о которой сообщила Sublime Security.
Первоначальная ссылка перенаправляется через легитимный URL-адрес Google Storage, блокирует ботов с помощью проверки Cloudflare Turnstile, а затем перенаправляет на вредоносные страницы.
Домены имеют схожие названия и все размещены в одном бакете Google Storage:
- welcome.careerscrews[.]com
- welcome.careerstaffer[.]com
- welcome.careersworkflow[.]com
- welcome.careerstransform[.]com
- welcome.careersupskill[.]com
- welcome.careerssuccess[.]com
- welcome.careersstaffgrid[.]com
- welcome.careersprogress[.]com
- welcome.careersgrower[.]com
- welcome.careersengage[.]com
- welcome.careerscrews[.]com
Вредоносные страницы имитируют страницы TikTok for Business и Google Careers с функцией «Запланировать звонок» (Schedule a Call), требуя от посетителей ввести основную информацию в форму для подтверждения использования рабочего адреса электронной почты.
После этого шага жертвам показывают поддельную страницу входа, которая представляет собой обратный прокси-сервер, предназначенный для перехвата учетных данных и сессионных cookie-файлов и их последующей эксфильтрации злоумышленнику.
Поскольку страница выступает посредником между легитимным пользователем и сервисом, злоумышленник может захватить аккаунты, даже если активна двухфакторная аутентификация (2FA).
Push Security также отмечает, что владельцы бизнес-аккаунтов часто входят в TikTok через службу единого входа (SSO) Google. «Это означает, что любой, кто использует Google для входа в свой аккаунт TikTok, фактически скомпрометирует оба аккаунта, используемых для распространения рекламы, одним разом».
Пользователям следует проявлять крайнюю осторожность с подозрительными приглашениями и предложениями о работе и никогда не доверять ссылкам, отправленным от неизвестных контактов. Всегда проверяйте домен перед вводом учетных данных и используйте passkeys для защиты ценных аккаунтов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
