This post is also available in: Português
Cibercriminosos estão aproveitando a Trend “Invisible Body” do TikTok para instalar malware em milhares de dispositivos para roubar dados dos usuários.
A Trend é um desafio sugerido aos usuários da plataforma, que consiste filmar seu corpo nu enquanto usa o filtro “Invisible Body”. O filtro remove o corpo do vídeo e o substitui por um fundo desfocado.
O desafio levou muitos usuários a postar vídeos com o uso do filtro.
Aproveitando que a Trend estava em alta, os cibercriminosos criaram vídeos no TikTok onde afirmam oferecer um filtro especial para remover o efeito de máscara corporal do TikTok e expor os corpos nus dos usuários que utilizaram o filtro.
Porém, este software é falso e instala o malware “WASP Stealer (Discord Token Grabber)”, que é capaz de roubar contas do Discord, senhas e cartões de crédito armazenados em navegadores, carteiras de criptomoedas e até mesmo arquivos do computador da vítima.
Esses vídeos receberam mais de um milhão de visualizações logo após serem postados, com um dos servidores Discord dos cibercriminosos acumulando mais de 30 mil membros.
Cibercriminosos utilizaram vídeos para promover a suposta ferramenta no TikTok
Segundo o relatório da empresa de segurança cibernética Checkmarx, os pesquisadores encontraram dois vídeos do TikTok postados pelos invasores, que rapidamente acumularam mais de um milhão de visualizações.
Os usuários da plataforma @learncyber e @kodibtc, que agora estão com as contas suspensas, criaram os vídeos para promover um software que dizia remover o filtro “Invisible Body”. O software seria distribuído através de um servidor Discord, chamado “Space Unfilter”.
Servidor Space Unfilter
Após as vítimas ingressarem no servidor Discord, elas viam um link postado por um bot apontando para um repositório GitHub que hospeda o malware.
Servidor Discord usado nos ataques. Fonte: Checkmarx.
O ataque foi tão bem sucedido que o repositório malicioso alcançou o status de “projeto de tendências do GitHub” e, apesar de ter sido renomeado, atualmente possui 98 estrelas e 16 forks.
Repositório GitHub que hospeda o downloader de malware. Fonte: Checkmarx.
Os arquivos do projeto continham um arquivo do Windows (.bat) que, quando executado, instala um pacote Python malicioso e um arquivo ReadMe com link para um vídeo do YouTube contendo instruções sobre como instalar a ferramenta “unfilter” do TikTok.
Os analistas da Checkmarx descobriram que os invasores usaram vários pacotes Python hospedados no PyPI, incluindo “tiktok-filter-api”, “pyshftuler”, “pyiopcs” e “pydesigns”, com novos adicionados sempre que os pacotes antigos são relatados e removidos.
Além disso, os invasores usam a técnica “StarJacking” no PyPI, vinculando seu projeto a um projeto popular do GitHub, com o qual não têm associação, para que ele pareça legítimo.
O pacote malicioso copia o código original, mas contém uma modificação para instalar o malware WASP.
Modificação maliciosa no código. Fonte: Checkmarx.
Segundo o relatório:
“Parece que esse ataque está em andamento e sempre que a equipe de segurança do Python exclui seus pacotes, ele rapidamente improvisa e cria uma nova identidade ou simplesmente usa um nome diferente.
Esses ataques demonstram novamente que os invasores cibernéticos começaram a focar sua atenção no ecossistema de pacotes de código aberto; acreditamos que essa tendência só se acelerará em 2023”.
Até o momento, o repositório GitHub usado pelo invasor ainda está ativo, porém, os pacotes “TikTok unfilter” foram substituídos por arquivos “Nitro generator”.
O servidor Discord “Unfilter Space” encontra-se offline. O cibercriminosos alegam ter se mudado para outro servidor.
Importante ressaltar que o filtro “Invisible Body” da plataforma TikTok não apresenta nenhum risco, assim como a Trend. O risco está no software, oferecido fora do aplicativo, que promete remover o filtro.
Usuários da plataforma devem tomar muito cuidado com vídeos que oferecem coisas fora do aplicativo.
Fonte: Checkmarx.
This post is also available in: Português
