- Push Security descubre una campaña de phishing dirigida a cuentas de TikTok Business
- Los atacantes utilizan enlaces de Google Storage y kits AITM para robar credenciales, cookies y códigos de autenticación multifactorial (MFA)
- Las cuentas comprometidas se utilizan para campañas publicitarias fraudulentas y la distribución de programas de robo de información a través de contenido falso en TikTok
Si tu empresa tiene una cuenta en TikTok, ten cuidado: los hackers están intentando robar tus credenciales de inicio de sesión mediante un sofisticado ataque de phishing.
Un nuevo informe de Push Security describe una campaña que muy probablemente comienza con un correo electrónico de phishing. Aunque esto no está confirmado, Push encontró un enlace malicioso que dirige a las víctimas a través de una URL legítima de Google Storage para parecer confiable, antes de redirigirlas a una de casi una docena de páginas de destino maliciosas, todas registradas con el mismo registrador sospechoso (Nicenic International Group, presuntamente utilizado con frecuencia para el registro masivo de dominios de phishing).
Cuando la víctima hace clic en el enlace, primero se activa una verificación de Cloudflare Turnstile para bloquear los bots de seguridad, tras lo cual se le muestra a la víctima una página de destino falsa. Esta página imita a TikTok for Business o, en ocasiones, a Google Careers. A continuación, se les pide que llenen un formulario básico (para programar una llamada o algo similar) y, más tarde, se les redirige a una página de inicio de sesión falsa.
El artículo continúa a continuación.Robando tanto a TikTok como a Google
La página de inicio de sesión es, en realidad, un kit de phishing de tipo "Adversary-in-the-Middle" (AITM) que actúa como un proxy inverso, capturando los datos de inicio de sesión y las cookies de sesión en tiempo real. Además, el kit también permite al atacante robar códigos de autenticación multifactorial (MFA), eludirlos y obtener acceso total a las cuentas de los usuarios.
El problema se agrava aún más para las personas que utilizan la función de inicio de sesión único de Google, ya que ceden el acceso a ambas plataformas y permiten a los atacantes ejecutar campañas publicitarias fraudulentas a través de sus cuentas (verificadas) y utilizando sus fondos:
"Vale la pena señalar también que muchos o la mayoría de los usuarios empresariales optarán por “iniciar sesión con Google”.
Esto significa que cualquiera que utilice Google para iniciar sesión en su cuenta de TikTok verá comprometidas de un solo golpe ambas cuentas utilizadas para distribuir anuncios, lo que abre el típico manual de explotación de Google Ad Manager, además de permitir el acceso a cualquier otra aplicación accesible a través del inicio de sesión único (SSO) para el robo de datos y la extorsión", explicó Push.
"Esto se ha convertido en el modus operandi estándar de los atacantes, en campañas como la oleada de phishing de Scattered Lapsus$ Hunters AITM a principios de este año, y su reciente racha de ataques de phishing de código de dispositivos".
Elecciones extrañas
Los investigadores también señalaron que, si bien tiene sentido centrarse en las cuentas de Google, TikTok era una "elección extraña a primera vista". Sin embargo, al conocer cómo se ha abusado históricamente de TikTok, con gran éxito, cambiaron de perspectiva.
A lo que se refieren es al hecho de que hay muchos videos de instrucciones falsos en TikTok. Afirman que hay innumerables clips generados por IA o manipulados de otra manera en la plataforma, en los que se explica a los usuarios cómo «activar» Windows o habilitar funciones "ocultas", "premium" o adicionales para Spotify, CapCut y otras aplicaciones, herramientas y servicios.
Las descripciones de estos videos de instrucciones falsos suelen incluir enlaces de descarga, donde las víctimas creen que obtendrán estas herramientas premium de forma gratuita. Sin embargo, lo que realmente obtienen son ladrones de información: Vidar, StealC, Aura Stealer y muchos otros son herramientas poderosas que pueden extraer credenciales de inicio de sesión, datos de carteras de criptomonedas, cookies y tokens de sesión, y mucho, mucho más.
Según Push Security, uno de estos videos tiene más de 500 000 visitas y más de 20 000 "me gusta".
Otra forma de abusar de TikTok es promover campañas falsas a través de "influencers" y otras personas populares, como Elon Musk o Michael Saylor. Estas campañas suelen invitar a las personas a registrar cuentas en intercambios fraudulentos de criptomonedas o a «invertir» su dinero en proyectos fraudulentos.
A través de BleepingComputer
➡️ Lee nuestra guía completa sobre los mejores antivirus
1. El mejor en general:
Bitdefender Total Security
2. El mejor para familias completas:
Norton 360 con LifeLock
3. El mejor para móviles:
McAfee Mobile Security
Sigue a TechRadar en Google News y añádenos como fuente preferida para recibir nuestras noticias, reseñas y opiniones de expertos en tus feeds. ¡No olvides hacer clic en el botón "Seguir"!
Y, por supuesto, también puedes seguir a TechRadar en TikTok para ver noticias, reseñas y unboxings en formato de video, además de recibir actualizaciones periódicas de nuestra parte en WhatsApp.