Campanie malware periculoasă bazată pe AI: Mai bine de 15.000 de site-uri false TikTok Shop fură criptomonede și date personale

O campanie cibernetică de amploare, identificată recent de specialiștii în securitate de la compania CTM360 din Bahrain, vizează utilizatorii TikTok Shop din întreaga lume.

Scopul principal este furtul de date de autentificare și criptomonede, prin metode ce combină phishingul cu aplicații mobile infectate.

FraudOnTok sau cum te lași păcălit de AI pe TikTok

Operațiunea, denumită „FraudOnTok”, folosește inteligența artificială pentru a crea reclame și videoclipuri false, concepute să imite influenceri sau ambasadori oficiali ai brandurilor promovate în TikTok Shop, informează The Hacker News.

Infractorii cibernetici exploatează similaritatea cu platforma originală TikTok Shop, creând copii aproape identice ale interfeței oficiale.

Peste 15.000 de domenii web care imită adresele autentice ale TikTok au fost descoperite, majoritatea fiind găzduite pe extensii de domeniu precum .top, .shop sau .icu.

Site-urile false au rolul de a colecta datele de autentificare ale utilizatorilor sau de a distribui aplicații mobile ce conțin variante modificate ale malware-ului cunoscut sub numele SparkKitty.

SparkKitty este un software malițios capabil să extragă date sensibile atât de pe dispozitive Android, cât și iOS.

Printre funcțiile avansate se numără analiza imaginilor din galeria foto a utilizatorului, în căutarea frazelor-seed ale portofelelor de criptomonede, utilizând tehnologia de recunoaștere optică a caracterelor (OCR). Informațiile colectate sunt trimise către servere controlate de atacatori.

Criptomonede, aplicații false și inginerie socială sofisticată

CTM360 a identificat peste 5.000 de site-uri care promovează aplicații infectate sub pretextul că ar fi aplicații oficiale TikTok Shop. Tacticile de manipulare sunt complexe și urmăresc trei obiective principale:

1. Escrocarea cumpărătorilor și a afiliaților: utilizatorii sunt ademeniți cu oferte false și reduceri spectaculoase, fiind apoi încurajați să plătească în criptomonede pe platforme fictive.
2. Deturnarea fondurilor afiliaților: participanții la programul de afiliere sunt convinși să alimenteze portofele virtuale înșelătoare, sub promisiunea unor comisioane viitoare sau bonusuri de retragere care nu sunt livrate niciodată.
3. Furtul datelor de autentificare: paginile false de logare și aplicațiile troianizate sunt concepute pentru a colecta informații personale, inclusiv tokenuri de sesiune obținute prin metode OAuth, ocolind astfel mecanismele clasice de autentificare cu email.

În plus, utilizatorii care încearcă să se conecteze prin aplicațiile false se confruntă cu erori intenționate, fiind ulterior redirecționați către un ecran de autentificare alternativ care le solicită accesul prin contul Google, crescând șansele de compromitere a datelor.

Campania FraudOnTok se desfășoară în paralel cu alte operațiuni de phishing descoperite recent, precum CyberHeist Phish și Meta Mirage.

Acestea vizează utilizatorii Google Ads, Meta Business Suite sau portaluri bancare online, folosind tactici de inginerie socială adaptate în timp real și infrastructuri de găzduire legitimă precum GitHub Pages sau Firebase pentru a crea pagini aparent inofensive.