Iamprovider

CTM360 เผยพบแคมเปญมัลแวร์ร้าย 'FraudOnTok' กำหนดเป้าหมายผู้ใช้ TikTok Shop

CTM360 เผยพบแคมเปญมัลแวร์ร้าย 'FraudOnTok' กำหนดเป้าหมายผู้ใช้ TikTok Shop

เปิดโปงแคมเปญ FraudOnTok

บริษัทความปลอดภัยทางไซเบอร์ CTM360 ได้เปิดเผยภัยคุกคามระดับโลกที่มีการประสานงานสูงที่เรียกว่า "FraudOnTok" ซึ่งเป็นแคมเปญที่อาศัยความน่าดึงดูดทางการค้าของ TikTok ในการแพร่กระจายสปายแวร์ SparkKitty โดยการสร้างภาพลวงตาที่ดูเหมือนจริงผ่านร้านค้าปลอมและการโปรโมทที่สร้างด้วย AI ผู้โจมตีกำลังฟิชชิ่งข้อมูลประจำตัวและติดตั้งมัลแวร์อย่างเงียบ ๆ บนอุปกรณ์ของผู้ใช้ที่ไม่สงสัย วิธีการแบบผสมผสานนี้เป็นวิวัฒนาการที่อันตรายในการหลอกลวงการค้าสังคม โดยผสมผสานการหลอกลวงดิจิทัลกับการขโมยทางการเงินในระดับอุตสาหกรรม

ความซับซ้อนของการดำเนินการอยู่ที่กลยุทธ์การโจมตีแบบสองทิศทาง โดยกำหนดเป้าหมายทั้งผู้ซื้อและผู้ขายพันธมิตรบนแพลตฟอร์ม นักวิจัยได้ระบุโครงสร้างพื้นฐานขนาดใหญ่ที่มีโดเมนปลอมคล้ายคลึงกันกว่า 15,000 โดเมนที่ออกแบบมาเพื่อเลียนแบบ URL อย่างเป็นทางการของ TikTok Shop เช่น รูปแบบที่ใช้ส่วนขยาย .top หรือ .shop สิ่งเหล่านี้ไม่ใช่เว็บไซต์เลียนแบบธรรมดา แต่เป็นพอร์ทัลที่ดูแลอย่างมืออาชีพซึ่งโฮสต์ขั้นตอนการเข้าสู่ระบบปลอม ร้านค้าปลอมที่มีส่วนลดที่ "ดีจนน่าเหลือเชื่อ" และคำแนะนำให้ดาวน์โหลดแอปพลิเคชันที่มีโทรจัน ซึ่งทั้งหมดนี้ชักนำเหยื่อไปสู่การขโมยข้อมูลหรือการชำระเงินด้วยคริปโตเคอร์เรนซีที่ไม่สามารถย้อนกลับได้

โครงสร้างพื้นฐานที่หลอกลวง: โดเมนปลอมและแอปปลอม

หัวใจของ FraudOnTok คือเครือข่ายขนาดใหญ่ของตัวปลอมดิจิทัล ผู้คุกคามได้ลงทะเบียนโดเมนหลายพันโดเมนที่เลียนแบบบริการการค้าของ TikTok ที่ถูกต้องอย่างชาญฉลาด เช่น "tikshop-gifts" หรือ "tiktok-bonus" เพื่อให้ดูผ่านตาในครั้งแรก เว็บไซต์เหล่านี้ไม่ใช่แค่หน้าเพจฟิชชิ่ง แต่เป็นแบบจำลองที่สมบูรณ์ของประสบการณ์ TikTok Shop พร้อมรายการสินค้า ตะกร้าสินค้า และแดชบอร์ดพันธมิตร เป้าหมายคือการสร้างความรู้สึกปลอดภัยที่ผิดพลาด เพื่อกระตุ้นให้ผู้ใช้ป้อนรายละเอียดการเข้าสู่ระบบหรือข้อมูลการชำระเงินโดยไม่ลังเล

นอกเหนือจากเว็บแล้ว แคมเปญยังผลักดันแอปพลิเคชันมือถือปลอมอีกด้วย แอป "TikTok Shop" ที่มีโทรจันเหล่านี้มักถูกกระจายผ่าน QR Code ในโฆษณาหรือลิงก์บนแพลตฟอร์มส่งข้อความเข้ารหัสเช่น Telegram เมื่อติดตั้งแล้ว พวกมันจะสะท้อนอินเทอร์เฟซของแอปอย่างเป็นทางการได้อย่างสมบูรณ์แบบ แต่ฝังด้วยเพย์โหลด SparkKitty วิธีการแบบหลายพื้นผิวนี้ทำให้แน่ใจว่าไม่ว่าเหยื่อจะอยู่บนเบราว์เซอร์หรืออุปกรณ์มือถือ กับดักก็ถูกตั้งไว้แล้ว ซึ่งขยายขอบเขตและประสิทธิภาพของการโจมตีได้อย่างมีนัยสำคัญ

แอปปลอมทำงานอย่างไร

แอปพลิเคชันที่เป็นอันตรายใช้วิศวกรรมสังคมที่ชาญฉลาดภายในโค้ดของพวกมัน ตัวอย่างเช่น พวกมันอาจทำให้การพยายามเข้าสู่ระบบด้วยอีเมลล้มเหลวโดยเจตนา เพื่อผลักดันให้ผู้ใช้รับรองความถูกต้องผ่านฟลักซ์ Google OAuth แทน กลยุทธ์นี้น่าจะมีเป้าหมายเพื่อขโมยโทเค็นเซสชันและหลีกเลี่ยงการตรวจสอบความปลอดภัยแบบดั้งเดิม เมื่อเข้าไปภายในแล้ว หากผู้ใช้ไปที่ส่วนร้านค้า พวกเขาจะถูกนำเสนอด้วยหน้าจอเข้าสู่ระบบปลอมอีกครั้ง สร้างลูปที่เก็บรวบรวมข้อมูลประจำตัวในขณะที่มัลแวร์ SparkKitty ทำงานในพื้นหลังเพื่อขูดข้อมูลจากอุปกรณ์

สปายแวร์ SparkKitty: โจรขโมยข้อมูลที่เงียบงัน

SparkKitty เป็นเครื่องยนต์ของการขโมยในแคมเปญนี้ ซึ่งเป็นตัวแปรสปายแวร์ข้ามแพลตฟอร์มที่เกี่ยวข้องกับ SparkCat ที่เคยมีการบันทึกไว้ก่อนหน้านี้ เมื่อแทรกซึมเข้าไปในอุปกรณ์ ไม่ว่าจะเป็น Android หรือ iOS มันจะทำงานด้วยความลับที่น่าตกใจ ความสามารถของมันขยายไปไกลกว่าการบันทึกการกดแป้นพิมพ์ธรรมดา มันทำการระบุลายนิ้วมือของอุปกรณ์ ตรวจสอบเนื้อหาบนคลิปบอร์ดสำหรับรหัสผ่านหรือที่อยู่คริปโตที่คัดลอกมา และใช้การจดจำอักขระด้วยแสง (OCR) เพื่อสแกนแกลเลอรีรูปภาพของผู้ใช้สำหรับภาพหน้าจอที่มีวลีเริ่มต้นของกระเป๋าเงินคริปโตเคอร์เรนซีหรือคีย์ส่วนตัว

ข้อมูลนี้จะถูกส่งออกไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม มักผ่านบอท Telegram ซึ่งช่วยให้เข้าถึงสินทรัพย์ดิจิทัลของเหยื่อได้แบบเรียลไทม์ ความสามารถของสปายแวร์ในการอ่านภาพทำให้มันร้ายกาจเป็นพิเศษ เนื่องจากผู้ใช้อาจเก็บข้อมูลทางการเงินที่ละเอียดอ่อนไว้ในแกลเลอรีของพวกเขาโดยไม่รู้ตัว ด้วยการรวมการขโมยข้อมูลประจำตัวกับการระบายเงินจากกระเป๋าเงินโดยตรง FraudOnTok ทำให้ความเสียหายทางการเงินสูงสุด โดยทิ้งให้เหยื่อไม่สามารถเข้าถึงบัญชีและมีเงินคริปโตที่ถูกกวาดล้าง

วิศวกรรมสังคมในระดับใหญ่: AI และโฆษณาแบบจ่ายเงิน

เครื่องจักรการกระจายของ FraudOnTok มีประสิทธิภาพอย่างโหดเหี้ยม โดยใช้ประโยชน์จากกลยุทธ์การตลาดสมัยใหม่เพื่อจุดประสงค์ที่เป็นอันตราย ผู้โจมตีใช้วิดีโอที่สร้างด้วย AI ซึ่งเลียนแบบอินฟลูเอนเซอร์ TikTok จริงหรือแบรนด์แอมบาสเดอร์ โปรโมตการขายแฟลชปลอมหรือโอกาสพันธมิตรพิเศษ วิดีโอเหล่านี้ถูกส่งเสริมผ่านโฆษณาแบบจ่ายเงินบนแพลตฟอร์มเช่น Meta (Facebook) และแม้แต่ภายใน TikTok เอง ซึ่งให้ความรู้สึกที่ถูกต้องตามกฎหมายที่หลีกเลี่ยงความสงสัยเริ่มต้นของผู้ใช้

จากนั้นการเข้าชมจะถูกชักนำผ่านกลยุทธ์หลายแง่มุม: จากโฆษณาไปยังโดเมนปลอม และมักจะเข้าสู่ช่องส่วนตัวบน WhatsApp หรือ Telegram กลยุทธ์การย้ายไปแชทนี้เพิ่มความเร่งด่วนผ่านการสนทนาแบบตัวต่อตัว ซึ่งที่นักต้มตุ๋นใช้กลยุทธ์กดดันเพื่อขับเคลื่อนการกระทำที่เสี่ยง เช่น การดาวน์โหลดแอปหรือการชำระเงินด้วยคริปโต กระบวนการทั้งหมดได้รับการออกแบบมาเพื่อลดการป้องกันทีละน้อย โดยใช้ประโยชน์จากความไว้วางใจในระบบนิเวศโซเชียลมีเดียเพื่ออำนวยความสะดวกในการฉ้อโกง

บทบาทของการส่งข้อความเข้ารหัส

การเปลี่ยนการสนทนาไปยัง Telegram หรือ WhatsApp มีจุดประสงค์สองประการ: มันเพิ่มการโน้มน้าวใจผ่านการบีบบังคับแบบส่วนบุคคล และวางการโต้ตอบนอกกลไกการรายงานและการบังคับใช้ของแพลตฟอร์มหลัก ที่นี่ เหยื่ออาจถูกบอกว่า "บัญชีของคุณมีความเสี่ยง" หรือ "โบนัสระยะเวลาจำกัด" ต้องการการดำเนินการทันที สร้างวิกฤตที่ผิดพลาดซึ่งลบล้างความระมัดระวังเชิงตรรกะ

เครื่องยนต์ทางการเงิน: คริปโตเคอร์เรนซีและการสร้างรายได้

โมเดลการสร้างรายได้ของ FraudOnTok ถูกสร้างขึ้นอย่างจงใจบนธุรกรรมที่ไม่สามารถย้อนกลับได้ ไม่เหมือนกับการชำระเงินด้วยบัตรแบบดั้งเดิมที่เสนอตัวเลือกการเรียกคืนเงิน แคมเปญนี้ผลักดันการชำระเงินด้วยคริปโตเคอร์เรนซีโดยเฉพาะ ซึ่งมักเป็น USDT, ETH หรือสินทรัพย์ดิจิทัลอื่น ๆ เหยื่อที่ช็อปปิ้งบนหน้าร้านปลอมจะถูกนำไปยังจุดชำระเงินที่ใช้เฉพาะคริปโต ในขณะที่ผู้ขายพันธมิตรถูกชักชวนให้ "เติมเงิน" กระเป๋าเงินปลอมด้วยคำสัญญาค่าคอมมิชชั่นที่เพิ่มขึ้นหรือโบนัสการถอนเงินที่ไม่เคยเกิดขึ้นจริง

เครื่องดูดทางการเงินไม่ได้หยุดอยู่แค่นั้น ข้อมูลประจำตัวที่ถูกขโมยทำให้สามารถยึดบัญชีได้ ซึ่งบัญชี TikTok Shop หรือบัญชีโฆษณาที่ถูกยึดจะถูกขายต่อหรือถูกใช้เพื่อการต้มตุ๋นเพิ่มเติม ขยายรัศมีความเสียหาย สิ่งนี้สร้างกระแสรายได้แบบหลายชั้น: การขโมยคริปโตโดยตรงจากกระเป๋าเงิน การขายต่อบัญชีที่ถูกบุกรุก และการฉ้อโกงโฆษณาที่อาจเกิดขึ้น การมุ่งเน้นที่คริปโตเคอร์เรนซีไม่เพียงแต่ทำให้การติดตามเงินทุนทำได้ยาก แต่ยังสอดคล้องกับเป้าหมายของผู้โจมตีในการได้รับผลกำไรทางการเงินที่รวดเร็วและไม่สามารถติดตามได้

การป้องกันเชิงปฏิบัติสำหรับผู้ใช้และแบรนด์

การต่อสู้กับแคมเปญที่ซับซ้อนเช่นนี้ต้องการขั้นตอนที่เป็นรูปธรรมและสามารถดำเนินการได้มากกว่าการเตือนที่คลุมเครือ สำหรับผู้ใช้แต่ละคน สายป้องกันแรกคือความตื่นตัว: ตรวจสอบชื่อโดเมนด้วยตนเองเสมอ มองหาการสะกดผิดหรือส่วนขยายที่ผิดปกติเช่น .icu อย่าดาวน์โหลดแอปจากแหล่งบุคคลที่สามหรือติดตั้ง APK จากการแยกส่วนจาก QR Code ใช้แอปสโตร์อย่างเป็นทางการเท่านั้น เปิดใช้งานการยืนยันตัวตนสองปัจจัย (2FA) ที่แข็งแกร่งและรองรับฮาร์ดแวร์ หรือใช้พาสคีย์สำหรับการเข้าสู่ระบบแพลตฟอร์ม และใช้ตัวจัดการรหัสผ่านเพื่อหลีกเลี่ยงการใช้ข้อมูลประจำตัวซ้ำ

สำหรับแบรนด์และผู้ขายที่ดำเนินการบน TikTok Shop การตรวจสอบเชิงรุกเป็นสิ่งสำคัญ นำบริการปกป้องความเสี่ยงดิจิทัลมาใช้เพื่อสแกนการปลอมแปลงแบรนด์ข้ามโดเมนและโซเชียลมีเดีย ตั้งค่าการแจ้งเตือนสำหรับกิจกรรมบัญชีที่ผิดปกติ เช่น การเปลี่ยนแปลงวิธีการจ่ายเงินอย่างกะทันหันหรือการเพิ่มผู้ดูแลระบบใหม่จากสถานที่ที่ไม่คุ้นเคย นอกจากนี้ ร่วมมือกับแพลตฟอร์มเพื่อเข้มงวดนโยบายการตรวจสอบโฆษณาเกี่ยวกับคำหลักที่เกี่ยวข้องกับการค้า ช่วยลดการกระจายเนื้อหาที่ฉ้อโกงแบบจ่ายเงิน

มองไปข้างหน้า: บทเรียนสำหรับความปลอดภัยของการค้าดิจิทัล

แคมเปญ FraudOnTok เป็นเครื่องเตือนใจที่ชัดเจนว่าเมื่อการค้าสังคมเติบโต ความน่าดึงดูดใจต่ออาชญากรไซเบอร์ก็เติบโตตามไปด้วย การดำเนินการนี้เน้นย้ำถึงการบรรจบกันที่เพิ่มขึ้นของการฟิชชิ่ง การส่งมัลแวร์ และวิศวกรรมสังคมที่ขับเคลื่อนด้วย AI ซึ่งเป็นการผสมผสานที่สามารถนำไปใช้ใหม่กับแพลตฟอร์มอื่นได้อย่างง่ายดาย สำหรับชุมชนความปลอดภัย มันเน้นย้ำถึงความจำเป็นในการแบ่งปันข่าวกรองภัยคุกคามแบบเรียลไทม์และกลไกการรับรองความถูกต้องที่แข็งแกร่งยิ่งขึ้น โดยเฉพาะในระบบนิเวศแอปที่การดาวน์โหลดจากบุคคลที่สามสร้างความเสี่ยง

ท้ายที่สุด การรักษาความปลอดภัยในภูมิทัศน์นี้ต้องการการเปลี่ยนแปลงในความคิด: ปฏิบัติต่อข้อเสนอออนไลน์ที่ "ดีจนน่าเหลือเชื่อ" ด้วยความสงสัยอย่างยิ่ง และให้ความสำคัญกับสุขอนามัยด้านความปลอดภัยเป็นส่วนหนึ่งของประสบการณ์การช็อปปิ้ง ด้วยการทำความเข้าใจกลยุทธ์เบื้องหลังภัยคุกคามเช่น FraudOnTok ผู้ใช้และธุรกิจสามารถสร้างการป้องกันที่ยืดหยุ่นมากขึ้น เพื่อให้แน่ใจว่าการนวัตกรรมในอีคอมเมิร์ซไม่ถูกบ่อนทำลายโดยผู้ที่แสวงหาผลประโยชน์จากความไว้วางใจของมัน ขนาดของแคมเปญอาจกว้างใหญ่ แต่ด้วยความตื่นตัวที่ได้รับข้อมูล ผลกระทบของมันสามารถถูกควบคุมได้