بدافزار چالش تیک تاکی

بدافزار چالش تیک تاکی جدید؛ بلای جان هزاران کاربر تیک تاک شد!

هکرها از چالش پرطرفدار TikTok به نام «چالش نامرئی» برای نصب بدافزار بر روی هزاران دستگاه و سرقت رمزهای عبور، حساب‌های Discord و کیف پول‌های ارزهای دیجیتال استفاده کردند.

 

چالش Invisible Body یا بدن نامرئی در TikTok برای انتشار بدافزار مورد استفاده قرار گرفت.

 

Invisible Body یا بدن نامرئی یک چالش جدید و پرطرفدار در TikTok است که شما را ملزم می‌کند در حالیکه از فیلتر «بدن نامرئی» استفاده می‌کنید، از خودتان بصورت برهنه فیلم بگیرید تا بوسیله آن بتواند بدنه را از ویدیو حذف و پس‌زمینه‌ای تار جایگزین آن ‌کند.

این چالش باعث شده است که مردم ویدیوهایی از خود منتشر کنند که ظاهراً برهنه هستند اما توسط فیلتر بدنشان پنهان شده است.

تهیه کنندگان بدافزار در حال ایجاد ویدیوهای TikTok هستند که ادعا می‌کنند یک فیلتر ویژه برای حذف اثر پوشاندن بدن TikTok و افشای بدن‌های برهنه ارائه می‌دهند!

نام این بدافزار چالش تیک تاکی TikTok unfilter است که یک نرم‌افزار جعلی است و بدافزار «WASP Stealer (Discord Token Grabber)» را نصب می‌کند که می‌تواند حساب‌های Discord، گذرواژه‌ها و کارت‌های اعتباری ذخیره‌شده در مرورگرها، کیف پول‌های ارزهای دیجیتال و حتی فایل‌ها را از کامپیوتر قربانی سرقت کند. این ویدیوها مدت کوتاهی پس از پست شدن بیش از یک میلیون بازدید داشت.

هدف گیری ترندهای TikTok

در گزارش جدید شرکت امنیت سایبری Checkmarx، محققان دو ویدیوی TikTok را یافتند که توسط مهاجمان ارسال شده بود که به سرعت پخش و بیش از یک میلیون بازدید داشت.

کاربران TikTok که اکنون معلق شده‌اند @learncyber و @kodibtc این ویدیوها را برای تبلیغ یک برنامه نرم‌افزاری برای “فیلتر حذف بدن نامرئی” ارائه شده در سرور Discord به نام “Space Unfilter” ایجاد کردند. Checkmarx بیان می کند که آنها حدود 32000 عضو داشتند.

هنگامی که قربانیان به سرور Discord متصل می شوند، لینکی را مشاهده می‌کنند که توسط یک ربات ارسال شده و به یک مخزن GitHub اشاره می‌کند که میزبان بدافزار است.

این حمله به قدری موفقیت آمیز بوده که مخزن مخرب گیت هاب به وضعیت “trending GitHub project” تغییر یافته و در حال حاضر دارای 103 ستاره و 18 فورک است.

فایل‌های پروژه حاوی یک فایل دسته‌ای ویندوز (bat.) بودند که پس از اجرا، یک بسته مخرب پایتون (دانلودکننده WASP) و یک فایل ReadMe را نصب می‌کند که یک ویدیوی YouTube حاوی دستورالعمل‌هایی در مورد نصب ابزار “unfilter” برای TikTok  است.

تحلیلگران Checkmarx دریافتند که مهاجمان از چندین بسته پایتون میزبانی شده در PyPI، از جمله “tiktok-filter-api”، “pyshftuler”، “pyiopcs” و “pydesings” استفاده کرده‌اند و هر بار که بسته‌های قدیمی گزارش می‌شوند و حذف می‌شوند، بسته‌های جدید اضافه می‌شوند.

همچنین، مهاجمان از تکنیک «StarJacking» در PyPI استفاده می‌کنند و پروژه خود را به یک پروژه محبوب GitHub مرتبط می‌کنند که هیچ ارتباطی با آن ندارند تا کارشان قانونی به نظر برسد.

بسته مخرب کد اصلی را کپی می کند اما شامل اصلاحیه ای برای نصب بدافزار WASP بر روی هاست است.

گزارش چکمارکس می‌گوید: «به نظر می‌رسد این حمله ادامه دارد و هر زمان که تیم امنیتی پایتون بسته‌های او را حذف می‌کند، او به‌سرعت تغییر هویت داده و هویت جدیدی ایجاد می‌کند یا به سادگی از نام دیگری استفاده می‌کند.

این حملات نشان می‌دهد که مهاجمان سایبری توجه خود را بر روی اکوسیستم بسته منبع باز(open-source package) متمرکز کرده‌اند؛ ما معتقدیم که این روند در سال 2023 تسریع خواهد شد.

در زمان نگارش این مطلب، مخزن GitHub مورد استفاده مهاجم هنوز فعال است، اما بسته‌های «TikTok unfilter» با فایل‌های «Nitro Generator» جایگزین شده‌اند.

سرور دیسکورد “Unfilter Space” آفلاین شد و عوامل تهدید ادعا کردند که به سرور دیگری منتقل شده اند.

 

 

منابع:

Checkmarx

bleepingcomputer.com