Οι φορείς απειλών στοχεύουν λογαριασμούς TikTok για επιχειρήσεις σε μια καμπάνια phishing που εμποδίζει τα ρομπότ ασφαλείας να αναλύουν κακόβουλες σελίδες.
Οι επιχειρησιακοί λογαριασμοί TikTok ενδέχεται να στοχοποιηθούν λόγω των υψηλών δυνατοτήτων τους για κατάχρηση σε καμπάνιες κακόβουλης διαφήμισης, απάτης διαφημίσεων και διανομής κακόβουλου περιεχομένου.
Η εταιρεία εντοπισμού και απόκρισης απειλών προγράμματος περιήγησης Push Security συνδέει την καμπάνια με μια τεκμηριωμένη πέρυσι, η οποία στόχευε λογαριασμούς Google Ad Manager.
Το TikTok έχει χρησιμοποιηθεί στο παρελθόν για τη διάδοση κακόβουλου λογισμικού που κλέβει πληροφορίες μέσω κακόβουλων βίντεο, καθώς και για απάτες κρυπτονομισμάτων μέσω ψεύτικων προωθήσεων. Οι λογαριασμοί TikTok for Business είναι ιδανικοί για τέτοιους σκοπούς λόγω της αυξημένης εμβέλειας και της αντιληπτής νομιμότητάς τους.
Σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer, Η Push Security λέει ότι τα θύματα παρασύρονται σε σελίδες ηλεκτρονικού “ψαρέματος” που φιλοξενούνται από το Cloudflare που έχουν καταχωριστεί στις 24 Μαρτίου μέσω του NiceNIC, ενός καταχωρητή που συχνά αναφέρεται από ερευνητή στον τομέα της ασφάλειας στον κυβερνοχώρο ότι χρησιμοποιείται για εγκληματικές δραστηριότητες στον κυβερνοχώρο.
Το Push Security δεν μπόρεσε να προσδιορίσει τον αρχικό μηχανισμό παράδοσης, αλλά πιστεύει ότι ο παράγοντας απειλής χρησιμοποιεί παρόμοια μέθοδο όπως παρατηρείται στη δραστηριότητα αναφέρθηκε από την Sublime Security.
Ο αρχικός σύνδεσμος ανακατευθύνεται μέσω μιας νόμιμης διεύθυνσης URL του Google Storage, αποκλείει τα bots χρησιμοποιώντας έναν έλεγχο Cloudflare Turnstile και, στη συνέχεια, ανακατευθύνει στις κακόβουλες σελίδες.
Οι τομείς διαθέτουν παρόμοια ονόματα και φιλοξενούνται όλοι στον ίδιο κάδο αποθήκευσης Google:
- καλώς.careerscrews[.]com
- καλώς ήρθες.careerstaffer[.]com
- καλώς ήρθες.careersworkflow[.]com
- καλώς ήρθες.careerstransform[.]com
- καλώς ήρθες.careersupskill[.]com
- καλώς ήρθες.καριέρα επιτυχία[.]com
- καλωσορίσατε.careersstaffgrid[.]com
- καλώς ήρθες.σταδιοδρομία[.]com
- καλωσόρισες.careersgrower[.]com
- καλωσόρισες.careersengage[.]com
- καλώς.careerscrews[.]com
Οι κακόβουλες σελίδες υποδύονται τις σελίδες TikTok for Business και Google Careers «Προγραμματισμός κλήσης», ζητώντας από τους επισκέπτες να εισαγάγουν βασικές πληροφορίες σε μια φόρμα για να επιβεβαιώσουν ότι χρησιμοποιούν μια επαγγελματική διεύθυνση email.
Πηγή: Push Security
Μετά από αυτό το βήμα, εμφανίζεται στα θύματα μια ψεύτικη σελίδα σύνδεσης, η οποία είναι ένας αντίστροφος διακομιστής μεσολάβησης που έχει σχεδιαστεί για να καταγράφει διαπιστευτήρια και cookie περιόδου λειτουργίας και να τα εκτοπίζει στον εισβολέα.
Δεδομένου ότι η σελίδα λειτουργεί ως ενδιάμεσος μεταξύ του νόμιμου χρήστη και της υπηρεσίας, ο παράγοντας απειλής μπορεί να παραβιάσει λογαριασμούς ακόμη και όταν είναι ενεργή η προστασία ελέγχου ταυτότητας δύο παραγόντων (2FA).
Πηγή: Push Security
Η Push Security σημειώνει επίσης ότι οι κάτοχοι επαγγελματικών λογαριασμών συχνά συνδέονται στο TikTok μέσω της υπηρεσίας Google single sign-on (SSO). “Αυτό σημαίνει ότι οποιοσδήποτε χρησιμοποιεί το Google για να συνδεθεί στον λογαριασμό του στο TikTok θα έχει ουσιαστικά και τους δύο λογαριασμούς που χρησιμοποιούνται για τη διανομή διαφημίσεων σε κίνδυνο με μία κίνηση.”
Οι χρήστες θα πρέπει να είναι εξαιρετικά προσεκτικοί με ύποπτες προσκλήσεις και προσφορές εργασίας και να μην εμπιστεύονται ποτέ συνδέσμους που αποστέλλονται από άγνωστες επαφές. Ελέγχετε πάντα τον τομέα πριν εισαγάγετε διαπιστευτήρια και χρησιμοποιείτε κωδικούς πρόσβασης για να προστατεύσετε πολύτιμους λογαριασμούς.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
