A CTM360 identificou uma nova campanha de malware global apelidada de "ClickTok", que espalha o spyware SparkKitty por meio de lojas fictícias do TikTok para roubar carteiras de criptomoedas e drenar os fundos.
O trojan spyware único descoberto pela CTM360 é especificamente projetado para explorar os usuários do TikTok Shop ao redor do mundo.
Apelidada de “ClickTok”, esta operação de fraude altamente coordenada emprega um modelo híbrido de golpe que combina phishing e malware para enganar compradores e participantes do programa de afiliados na crescente plataforma de e-commerce do TikTok.
Na campanha ClickTok, lojas do TikTok foram identificadas com o spyware SparkKitty incorporado, uma variante que se assemelha bastante ao SparkCat, previamente identificado pela Kaspersky.
Uma vez instalado, ele infiltra no dispositivo do usuário, acessa a galeria de fotos e extrai capturas de tela que podem conter credenciais de carteira de criptomoeda.
O que torna o ClickTok único é seu uso simultâneo de táticas de phishing e malware, aumentando significativamente seu impacto e discrição.
O golpe começa com a personificação do ecossistema comercial do TikTok, incluindo TikTok Shop, TikTok Wholesale e TikTok Mall.
Atores de ameaças criam sites falsos do TikTok que imitam de perto a interface oficial, enganando os usuários a pensar que estão interagindo com a plataforma real.
As vítimas são atraídas para fazer login e tentar realizar compras.
Durante o processo de checkout, elas são instruídas a pagar via carteiras de criptomoeda.
Uma vez realizado o pagamento, o app trojanizado incorporado com spyware SparkKitty, captura secretamente dados sensíveis, incluindo credenciais da carteira, por ler capturas de tela e imagens armazenadas no dispositivo, possibilitando, em última análise, o roubo de fundos digitais.
O atacante tem dois objetivos principais:
Eles incitam os usuários a abrir os URLs falsos da Loja distribuídos por meio de anúncios meta, induzindo os usuários a inserir credenciais de login, detalhes de pagamento ou informações do vendedor, todos os quais são silenciosamente colhidos.
A CTM360 rastreou um trojan spyware único especificamente projetado para explorar os usuários do TikTok Shop ao redor do mundo.
Apelidada de “ClickTok”, esta operação de fraude altamente coordenada emprega um modelo híbrido de golpe que combina phishing e malware para enganar compradores e participantes do programa de afiliados na crescente plataforma de e-commerce do TikTok.
Nos dispositivos móveis, os sites incentivam os usuários a instalar Apps do TikTok modificados que estão infectados com SparkKitty, uma variante maliciosa de spyware capaz de vigilância profunda do dispositivo, raspagem da área de transferência e roubo de credenciais.
Esses apps falsos possuem interfaces de usuário exatas como as lojas originais do TikTok, enganando as vítimas a acreditar que estão interagindo com um App do TikTok legítimo enquanto silenciosamente escoam dados sensíveis em segundo plano.
Os golpistas do ClickTok usam vídeos falsos gerados por IA e anúncios meta para alcançar um público mais amplo.
Esses anúncios direcionam os usuários para domínios falsos cybersquatting cuidadosamente elaborados para parecer com URLs reais do TikTok.
Até o momento, a CTM360 observou:
- Mais de 10.000 websites do TikTok foram personificados, muitos utilizando TLDs gratuitos ou de baixo custo, como .top, .shop, .icu, entre outros.
- Mais de 5.000 instâncias únicas de aplicativos maliciosos, espalhados via QR codes, aplicativos de mensagens e downloads dentro do app.
Campanhas fraudulentas personificando não apenas o TikTok Shop, mas também o TikTok Wholesale e o TikTok Mall.
A campanha ClickTok usa páginas de login falsas do TikTok Shop para colher credenciais de usuários e distribuição de malware por meio de apps trojanizados que possibilitam a tomada de conta.
Implementa uma estrutura alternativa de pagamento que exclui transações tradicionais com cartão, exigindo pagamentos por meio de carteiras de criptomoeda.
Vítimas são frequentemente incentivadas a “carregar” falsas carteiras do TikTok ou moedas digitais como USDT, ETH e mais.
A CTM360 insta os usuários e organizações a permanecerem vigilantes e a tomarem as seguintes precauções:
- Evitar baixar softwares modificados, crackeados ou desconhecidos, especialmente de sites de torrent e Telegram.
- Sempre verificar a autenticidade do domínio antes de inserir informações de login ou pagamento e verificar manualmente por erros de ortografia ou extensões de domínio suspeitas.
- Reportar qualquer conteúdo, anúncios ou apps relacionados ao TikTok suspeitos diretamente ao TikTok ou às autoridades de cibersegurança em seu país.
- Marcas e vendedores devem monitorar regularmente abuso de marca e tendências de personificação usando plataformas de inteligência de ameaças.
- Forte solução antivírus ou EDR para prevenir violações por spyware SparkKitty.
- Se você usa uma carteira de criptomoeda, opte por uma que seja protegida contra cópia via área de transferência.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...