Dwóch badaczy bezpieczeństwa podniosło alarm w związku z osobistymi zagrożeniami związanymi z udziałem w wirusie TIK Tok wyzwań i dawania się wciągnąć w obietnice, które wydają się zbyt piękne, aby mogły być prawdziwe, po odkryciu dowodów na a działanie złośliwego oprogramowania kierowanie reklam do użytkowników platformy z obietnicą oglądania nagich filmów.
Invisible Challenge wymaga od uczestników sfilmowania się nago przy użyciu efektu TikTok o nazwie Invisible Body, który usuwa ich ciało z filmu i zastępuje je rozmytym obrazem konturowym. Wyzwanie staje się coraz bardziej popularne, a jego główny hashtag ma już ponad 25 milionów wyświetleń.
Jednak według Guy Nachshon i Tal Folkman z Checkmarxspecjalista w testowaniu bezpieczeństwa aplikacji, wyzwanie przyciągnęło uwagę złośliwych aktorów, którzy wykorzystują je do dystrybucji szkodliwego oprogramowania pod przykrywką aplikacji o nazwie Unfilter do kradzieży danych, która rzekomo umożliwia użytkownikom oglądanie oryginalnych, nieocenzurowanych filmów.
Operacja jest prowadzona przez dwóch użytkowników TikToka, prowadzących „learncyber” i „kodibtc”, którzy do tej pory zaprosili ponad 30 000 osób do dołączenia do Serwer Discorda aby uzyskać aplikację Unfilter za pośrednictwem ich Repozytorium GitHub.
„Duża liczba użytkowników skłonnych dołączyć do tego serwera Discord i potencjalnie zainstalować to złośliwe oprogramowanie jest niepokojąca” – napisali Nachshon i Folkman. „Poziom manipulacji wykorzystywany przez osoby atakujące łańcuch dostaw oprogramowania rośnie, ponieważ osoby atakujące stają się coraz bardziej sprytne”.
Oczywiście aplikacja w rzeczywistości nie usuwa filtra TikTok, a raczej instaluje złośliwe oprogramowanie o nazwie WASP Stealer (Discord Token Grabber), narzędzie do kradzieży informacji, którego celem są konta Discord, inne dane uwierzytelniające i dane kart kredytowych przechowywane w przeglądarkach internetowych ofiar, portfelach kryptowalut i inne pliki.
Nachshon i Folkman powiedzieli, że kampania wydaje się być powiązana z innymi złośliwe pakiety Pythonaa część kodu mogła zostać skradziona z legalnego pakietu.
StarJacking
Atakujący mogli również zastosować technikę znaną jako StarJacking, co zasadniczo polega na przejęciu oceny GitHub Stars legalnego pakietu, aby sprawiał wrażenie bardziej popularnego niż jest w rzeczywistości. Wysyłali też nowo zarejestrowanym wiadomość prywatną z konta bota z prośbą, aby ich ofiary same oznaczyły repozytorium GitHub, co w efekcie zyskało status projektu trendującego.
W pewnym momencie, powiedzieli badacze, po tym, jak szkodliwy pakiet został przechwycony i usunięty przez Inicjatywa pakietowa Pythona (PyPi), użytkownicy szybko mogli improwizować i tworzyć nowe tożsamości. Obaj użytkownicy zostali również wyrzuceni z TikTok, a ich oryginalny serwer Discord zawieszony, chociaż Nachshon i Folkman powiedzieli, że przenieśli się na inny serwer.
„Ataki te ponownie pokazują, że cyberprzestępcy zaczęli skupiać swoją uwagę na ekosystemie pakietów open source; wierzymy, że ten trend przyspieszy dopiero w 2023 roku” – stwierdzili naukowcy.
„Ponieważ obserwujemy coraz więcej różnych ataków, niezwykle ważne jest przyspieszenie przepływu informacji o tych atakach przez wszystkie zaangażowane strony – rejestry pakietów, badaczy bezpieczeństwa [and] programistów – aby chronić ekosystem open source przed tymi zagrożeniami”.
Javvad Malik, główny rzecznik ds. świadomości bezpieczeństwa w firmie KnowBe4, powiedział: „Przestępcy zawsze szukają sposobów nakłonienia ludzi do pobrania złośliwego oprogramowania. Mogą to być oferty darmowych upominków, podszywanie się pod wielkie marki, strach przed utratą konta, ciekawość i wszelkie inne emocjonalne struny, za którymi mogą pociągnąć.
„Niewidzialny filtr do ciała został zaprojektowany specjalnie w celu wywołania reakcji emocjonalnej, dlatego jest to obecnie trend. Przestępcy wiedzą, że pokusa potencjalnej możliwości odwrócenia filtra byłaby zbyt wielka, by wielu mogło się jej oprzeć, i mają rację.
„Dlatego ważne jest, aby cofnąć się o krok i pomyśleć, zanim pobierzesz jakiekolwiek oprogramowanie, szczególnie jeśli pochodzi ono z nieznanych źródeł, zwłaszcza na kanałach czatu, takich jak Discord” – powiedział Malik.