بدافزار چالش تیک تاکی جدید؛ بلای جان هزاران کاربر تیک تاک شد!
هکرها از چالش پرطرفدار TikTok به نام «چالش نامرئی» برای نصب بدافزار بر روی هزاران دستگاه و سرقت رمزهای عبور، حسابهای Discord و کیف پولهای ارزهای دیجیتال استفاده کردند.
چالش Invisible Body یا بدن نامرئی در TikTok برای انتشار بدافزار مورد استفاده قرار گرفت.
Invisible Body یا بدن نامرئی یک چالش جدید و پرطرفدار در TikTok است که شما را ملزم میکند در حالیکه از فیلتر «بدن نامرئی» استفاده میکنید، از خودتان بصورت برهنه فیلم بگیرید تا بوسیله آن بتواند بدنه را از ویدیو حذف و پسزمینهای تار جایگزین آن کند.
این چالش باعث شده است که مردم ویدیوهایی از خود منتشر کنند که ظاهراً برهنه هستند اما توسط فیلتر بدنشان پنهان شده است.
تهیه کنندگان بدافزار در حال ایجاد ویدیوهای TikTok هستند که ادعا میکنند یک فیلتر ویژه برای حذف اثر پوشاندن بدن TikTok و افشای بدنهای برهنه ارائه میدهند!
نام این بدافزار چالش تیک تاکی TikTok unfilter است که یک نرمافزار جعلی است و بدافزار «WASP Stealer (Discord Token Grabber)» را نصب میکند که میتواند حسابهای Discord، گذرواژهها و کارتهای اعتباری ذخیرهشده در مرورگرها، کیف پولهای ارزهای دیجیتال و حتی فایلها را از کامپیوتر قربانی سرقت کند. این ویدیوها مدت کوتاهی پس از پست شدن بیش از یک میلیون بازدید داشت.
هدف گیری ترندهای TikTok
در گزارش جدید شرکت امنیت سایبری Checkmarx، محققان دو ویدیوی TikTok را یافتند که توسط مهاجمان ارسال شده بود که به سرعت پخش و بیش از یک میلیون بازدید داشت.
کاربران TikTok که اکنون معلق شدهاند @learncyber و @kodibtc این ویدیوها را برای تبلیغ یک برنامه نرمافزاری برای “فیلتر حذف بدن نامرئی” ارائه شده در سرور Discord به نام “Space Unfilter” ایجاد کردند. Checkmarx بیان می کند که آنها حدود 32000 عضو داشتند.
هنگامی که قربانیان به سرور Discord متصل می شوند، لینکی را مشاهده میکنند که توسط یک ربات ارسال شده و به یک مخزن GitHub اشاره میکند که میزبان بدافزار است.
این حمله به قدری موفقیت آمیز بوده که مخزن مخرب گیت هاب به وضعیت “trending GitHub project” تغییر یافته و در حال حاضر دارای 103 ستاره و 18 فورک است.
فایلهای پروژه حاوی یک فایل دستهای ویندوز (bat.) بودند که پس از اجرا، یک بسته مخرب پایتون (دانلودکننده WASP) و یک فایل ReadMe را نصب میکند که یک ویدیوی YouTube حاوی دستورالعملهایی در مورد نصب ابزار “unfilter” برای TikTok است.
تحلیلگران Checkmarx دریافتند که مهاجمان از چندین بسته پایتون میزبانی شده در PyPI، از جمله “tiktok-filter-api”، “pyshftuler”، “pyiopcs” و “pydesings” استفاده کردهاند و هر بار که بستههای قدیمی گزارش میشوند و حذف میشوند، بستههای جدید اضافه میشوند.
همچنین، مهاجمان از تکنیک «StarJacking» در PyPI استفاده میکنند و پروژه خود را به یک پروژه محبوب GitHub مرتبط میکنند که هیچ ارتباطی با آن ندارند تا کارشان قانونی به نظر برسد.
بسته مخرب کد اصلی را کپی می کند اما شامل اصلاحیه ای برای نصب بدافزار WASP بر روی هاست است.
گزارش چکمارکس میگوید: «به نظر میرسد این حمله ادامه دارد و هر زمان که تیم امنیتی پایتون بستههای او را حذف میکند، او بهسرعت تغییر هویت داده و هویت جدیدی ایجاد میکند یا به سادگی از نام دیگری استفاده میکند.
این حملات نشان میدهد که مهاجمان سایبری توجه خود را بر روی اکوسیستم بسته منبع باز(open-source package) متمرکز کردهاند؛ ما معتقدیم که این روند در سال 2023 تسریع خواهد شد.
در زمان نگارش این مطلب، مخزن GitHub مورد استفاده مهاجم هنوز فعال است، اما بستههای «TikTok unfilter» با فایلهای «Nitro Generator» جایگزین شدهاند.
سرور دیسکورد “Unfilter Space” آفلاین شد و عوامل تهدید ادعا کردند که به سرور دیگری منتقل شده اند.
منابع:
Checkmarx
bleepingcomputer.com