Iamprovider

CTM360 обнаруживает вредоносную кампанию «FraudOnTok», нацеленную на пользователей TikTok Shop

CTM360 обнаруживает вредоносную кампанию «FraudOnTok», нацеленную на пользователей TikTok Shop

Раскрытие кампании FraudOnTok

Кибербезопасностная компания CTM360 раскрыла высокоорганизованную глобальную угрозу под названием «FraudOnTok» — кампанию, которая использует коммерческую привлекательность TikTok для распространения шпионского ПО SparkKitty. Создавая бесшовную иллюзию легитимности через поддельные магазины и промо-материалы, сгенерированные ИИ, злоумышленники фишингуют учетные данные и незаметно устанавливают вредоносное ПО на устройства ничего не подозревающих пользователей. Этот гибридный подход знаменует опасную эволюцию мошенничества в социальной коммерции, смешивая цифровой обман с финансовыми кражами в промышленных масштабах.

Сложность операции заключается в её стратегии атаки по двум векторам, нацеленной как на покупателей платформы, так и на её партнёрских продавцов. Исследователи выявили обширную инфраструктуру из более чем 15 000 доменов-двойников, созданных для имитации официальных URL TikTok Shop, например, вариаций с использованием расширений .top или .shop. Это не просто сайты-копии; это профессионально поддерживаемые порталы, на которых размещаются поддельные формы входа, мошеннические витрины с «слишком выгодными, чтобы быть правдой» скидками и предложения скачать троянизированные приложения — всё это направляет жертв к извлечению данных или необратимым криптовалютным платежам.

Обманчивая инфраструктура: домены-двойники и поддельные приложения

В основе FraudOnTok лежит огромная сеть цифровых двойников. Злоумышленники зарегистрировали тысячи доменов, которые хитро имитируют легитимные коммерческие сервисы TikTok — например, «tikshop-gifts» или «tiktok-bonus», — чтобы пройти беглый взгляд. Эти сайты — не просто фишинговые страницы; это полноценные реплики опыта TikTok Shop, с каталогами товаров, корзинами покупок и партнёрскими панелями управления. Цель — создать ложное чувство безопасности, побуждая пользователей вводить данные для входа или платёжную информацию не задумываясь.

Помимо веб-сайтов, кампания продвигает поддельные мобильные приложения. Эти троянизированные приложения «TikTok Shop» часто распространяются через QR-коды в рекламе или ссылки на зашифрованных мессенджерах, таких как Telegram. После установки они идеально копируют интерфейс официального приложения, но содержат в себе полезную нагрузку SparkKitty. Этот многоуровневый подход гарантирует, что ловушка расставлена независимо от того, использует ли жертва браузер или мобильное устройство, что значительно расширяет охват и эффективность атаки.

Как работают поддельные приложения

Вредоносные приложения используют в своём коде хитрые методы социальной инженерии. Например, они могут намеренно провалить попытку входа по email, подталкивая пользователя к аутентификации через OAuth-поток Google. Эта тактика, вероятно, направлена на перехват токенов сессии и обход традиционных проверок безопасности. Попав внутрь, если пользователь переходит в раздел магазина, ему показывается ещё один поддельный экран входа, создавая цикл, который собирает учётные данные, пока шпионское ПО SparkKitty работает в фоновом режиме, извлекая данные с устройства.

Шпионское ПО SparkKitty: тихий похититель данных

SparkKitty — это двигатель кражи в этой кампании, кроссплатформенный вариант шпионского ПО, родственный ранее задокументированному SparkCat. Попав на устройство — будь то Android или iOS — оно работает с тревожной скрытностью. Его возможности выходят за рамки простого кейлоггинга; оно создаёт цифровой отпечаток устройства, отслеживает содержимое буфера обмена на наличие скопированных паролей или криптоадресов и использует оптическое распознавание символов (OCR) для сканирования галереи пользователя в поисках скриншотов с сид-фразами или приватными ключами криптовалютных кошельков.

Эти данные затем извлекаются на серверы, контролируемые злоумышленниками, часто через Telegram-ботов, что обеспечивает доступ к цифровым активам жертв в реальном времени. Способность шпионского ПО читать изображения делает его особенно коварным, поскольку пользователи могут неосознанно хранить конфиденциальную финансовую информацию в своих галереях. Сочетая кражу учётных данных с прямым опустошением кошельков, FraudOnTok максимизирует финансовый ущерб, оставляя жертв заблокированными в аккаунтах и с опустошёнными криптоактивами.

Социальная инженерия в масштабе: ИИ и платная реклама

Механизм распространения FraudOnTok безжалостно эффективен, используя современные маркетинговые тактики в злонамеренных целях. Злоумышленники используют видео, сгенерированные ИИ, которые имитируют настоящих инфлюенсеров TikTok или бренд-амбассадоров, рекламируя поддельные распродажи или эксклюзивные партнёрские возможности. Эти видео продвигаются через платную рекламу на таких платформах, как Meta (Facebook), и даже внутри самого TikTok, что придаёт им видимость легитимности и обходит первоначальный скептицизм пользователей.

Трафик затем направляется по многосторонней стратегии: от рекламы к доменам-двойникам, а часто — в приватные каналы WhatsApp или Telegram. Эта тактика «перехода в чат» усиливает срочность через диалог один на один, где мошенники применяют методы давления, чтобы подтолкнуть к рискованным действиям, таким как скачивание приложения или совершение криптоплатежа. Весь процесс разработан для постепенного снижения бдительности, используя доверие к экосистемам социальных сетей для облегчения мошенничества.

Роль зашифрованных мессенджеров

Перенос бесед в Telegram или WhatsApp служит двойной цели: он усиливает убеждение через персонализированное принуждение и выводит взаимодействие за рамки механизмов отчётности и контроля основных платформ. Здесь жертвам могут сказать, что их «аккаунт в опасности» или что «бонус ограниченного времени» требует немедленных действий, создавая ложный кризис, который подавляет логическую осторожность.

Финансовый двигатель: криптовалюта и монетизация

Модель монетизации FraudOnTok намеренно построена на необратимых транзакциях. В отличие от традиционных карточных платежей, которые предлагают возможность оспаривания, эта кампания исключительно продвигает криптовалютные платежи — часто в USDT, ETH или других цифровых активах. Жертвы, совершающие покупки на поддельных витринах, направляются на кассы, принимающие только криптовалюту, в то время как партнёрским продавцам предлагают «пополнить» поддельные кошельки обещаниями повышенных комиссий или бонусов на вывод, которые никогда не материализуются.

Финансовый сифон на этом не останавливается. Украденные учётные данные позволяют захватывать аккаунты, после чего взломанные аккаунты TikTok Shop или рекламные аккаунты перепродаются или используются для дальнейших мошенничеств, увеличивая радиус поражения. Это создаёт многоуровневый поток доходов: прямые кражи криптовалюты из кошельков, перепродажа скомпрометированных аккаунтов и потенциальное мошенничество с рекламой. Фокус на криптовалюте не только затрудняет отслеживание средств, но и соответствует цели злоумышленников — быстрому, неотслеживаемому финансовому обогащению.

Практическая защита для пользователей и брендов

Противодействие столь сложной кампании требует конкретных, практических шагов, а не расплывчатых предупреждений. Для индивидуальных пользователей первая линия защиты — бдительность: всегда проверяйте доменные имена вручную, ищите опечатки или необычные расширения вроде .icu. Никогда не скачивайте приложения из сторонних источников и не устанавливайте APK-файлы с QR-кодов; используйте только официальные магазины приложений. Включите строгую двухфакторную аутентификацию (2FA) с аппаратной поддержкой или используйте пасс-ключи для входа на платформы, а также применяйте менеджер паролей, чтобы избежать их повторного использования.

Для брендов и продавцов, работающих на TikTok Shop, ключевым является проактивный мониторинг. Внедрите сервисы защиты от цифровых рисков для сканирования на предмет имитации бренда на доменах и в социальных сетях. Настройте оповещения о подозрительной активности аккаунта, такой как внезапное изменение способов выплат или добавление новых администраторов из незнакомых мест. Кроме того, сотрудничайте с платформами для ужесточения политик проверки рекламы, связанной с коммерческими ключевыми словами, что поможет сдержать платное распространение мошеннического контента.

Взгляд в будущее: уроки для безопасности цифровой коммерции

Кампания FraudOnTok — это суровое напоминание о том, что по мере роста социальной коммерции растёт и её привлекательность для киберпреступников. Эта операция подчёркивает растущее сближение фишинга, распространения вредоносного ПО и социальной инженерии на основе ИИ — смесь, которую можно легко адаптировать для атак на другие платформы. Для сообщества безопасности это подчёркивает необходимость обмена разведданными об угрозах в реальном времени и более надёжных механизмов аутентификации, особенно в экосистемах приложений, где загрузки из сторонних источников представляют риск.

В конечном счёте, безопасность в этой среде требует смены мышления: относитесь к «слишком выгодным» онлайн-предложениям с крайним скептицизмом и уделяйте гигиене безопасности первостепенное значение как части процесса покупок. Понимая тактику, стоящую за угрозами вроде FraudOnTok, пользователи и бизнесы могут построить более устойчивую защиту, гарантируя, что инновации в электронной коммерции не будут подорваны теми, кто стремится использовать её доверие. Масштаб кампании может быть огромным, но с информированной бдительностью её воздействие можно сдержать.