Útočníci zneužívají tiktokovou výzvu Invisible Challenge k šíření malwaru

Zpět na blog

Útočníci využívají trendovou výzvu TikToku s názvem Invisible Challenge (Neviditelná výzva) k instalaci malwaru na tisíce zařízení a krádeži uživatelských hesel, účtů Discord a potenciálně i peněženek s kryptoměnami.

Nová výzva TikToku vyžaduje, abyste se natočili nazí, a přitom použili filtr TikToku „Invisible Body“, který z videa odstraní tělo a nahradí ho rozmazaným pozadím. Takže celá „zábava“ spočívá v tom, že lidé zveřejňují videa, na kterých jsou údajně nazí, ale zakrytí filtrem.

Situace využili kybernetičtí útočníci, kteří na TikToku vytvářejí a publikují videa, kde tvrdí, že mají k dispozici speciální „odfiltrovací“ nástroj, který odstraňuje efekt maskování těla TikToku a odhaluje nahá těla TikTokerů.

Samozřejmě, že ve skutečnosti žádný takový nástroj nemají a zájemce, který si jejich software stáhne, si dobrovolně nainstaluje akorát malware „WASP Stealer (Discord Token Grabber)“, který dokáže účty na Discordu, hesla a kreditní karty uložené v prohlížečích, peněženky s kryptoměnami, a dokonce i soubory z počítače oběti.

Tato videa získala krátce po zveřejnění více než milion zhlédnutí, přičemž jeden ze serverů Discord aktéra hrozby nasbíral přes 30 000 členů.

Zaměření na trendy TikTok

V nové zprávě společnosti Checkmarx zabývající se kybernetickou bezpečností výzkumníci zjistili, že útočníci zveřejnili dvě videa na TikToku, která rychle nasbírala dohromady přes milion zhlédnutí.

Nyní pozastavení uživatelé TikToku @learncyber a @kodibtc vytvořili videa k propagaci softwarové aplikace k „odstranění filtru neviditelného těla“ nabízené na serveru Discord s názvem „Space Unfilter“. Aktéři hrozby už server Discord přesunuli, ale Checkmarx uvádí, že v jednu chvíli měl přibližně 32 000 členů.

Jakmile se oběti připojili k serveru Discord, kde měli získat onen nástroj pro „odfiltrování“, zobrazí se jim odkaz zveřejněný botem, který odkazuje na repozitář GitHub, v němž je umístěn malware. Tento počin byl dokonce natolik úspěšný, že škodlivý repozitář získal status „trendy projekt GitHub“, a přestože byl mezitím přejmenován, má v současné době 103 hvězdiček a 18 forků.

Soubory projektu obsahovaly dávkový soubor pro systém Windows (.bat), který po spuštění nainstaluje škodlivý balíček Python (WASP downloader), a soubor ReadMe, který odkazuje na video YouTube obsahující pokyny k instalaci neexistujícího nástroje.

Analytici společnosti Checkmarx zjistili, že útočníci použili několik balíčků Python hostovaných na serveru PyPI, včetně „tiktok-filter-api“, „pyshftuler“, „pyiopcs“ a „pydesings“, přičemž nové balíčky byly přidány pokaždé, když byly staré balíčky nahlášeny a odstraněny.

Útočníci také používají techniku „StarJacking“ na PyPI, kdy svůj projekt propojí s populárním projektem GitHub, se kterým nemají žádnou spojitost, aby vypadal legitimně. Škodlivý balíček kopíruje původní kód, ale obsahuje modifikaci pro instalaci malwaru WASP na hostitele.

„Zdá se, že tento útok pokračuje, a kdykoli bezpečnostní tým Pythonu odstraní jeho balíčky, rychle zaimprovizuje a vytvoří novou identitu nebo prostě použije jiné jméno,“ uvádí se ve zprávě společnosti Checkmarx.

Tyto útoky opět ukazují, že kybernetičtí útočníci začali zaměřovat svou pozornost na ekosystém balíčků s otevřeným zdrojovým kódem.

Repozitáře se na GitHubu stále objevují pod jinými jmény, server Discord „Unfilter Space“ byl vyřazen z provozu, přičemž aktéři hrozby tvrdí, že se přesunuli na jiný server.

Zdroj: Bleepingcomputer.com, The Hacker News

2. 12. 2022