Os hackers estão aproveitando o novo desafio do TikTok chamado “Invisible Body” para induzir os usuários a instalar malware que lhes permite roubar suas senhas, contas do Discord e potencialmente carteiras de cartão de crédito e criptomoeda. Então, os nudes no TikTok usados para espalhar malware.
A nova tendência do TikTok exige que você se grave nudes usando o filtro “Invisible Body”, que remove a parte do corpo do vídeo e a substitui por um fundo desfocado.
Para aproveitar isso, os invasores estão subindo vídeos para a plataforma na qual afirmam oferecer um aplicativo que remove o filtro dos vídeos que expõem a pessoa nua.
Na realidade, o software que eles baixam é obviamente falso e, em vez disso, instala um “WASP Stealer (Discord Token Grabber)” . Trata-se de um malware capaz de roubar contas do Discord, senhas e cartões de crédito salvos no navegador, carteiras de criptomoedas e até arquivos do terminal da vítima.
Os vídeos enviados pelos invasores atingem mais de um milhão de visualizações logo após serem enviados para um servidor Discord usado por mais de 30.000 membros.
Tendências do TikTok em destaque
Após um novo relatório da empresa de segurança cibernética Checkmarx , os pesquisadores encontraram dois vídeos do TikTok enviados pelos invasores que acumularam mais de um milhão de visualizações entre eles.
As contas TikTok excluídas que as carregaram (@learncyber e @kodibtc) promoveram um servidor Discord com o nome “Space Unfilter”.
Desde então, os invasores moveram esse servidor Discord, mas a Checkmarx afirma que já teve aproximadamente 32.000 membros.
Depois que as vítimas ingressam no servidor Discord, elas podem ver um link carregado por um bot apontando para um repositório GitHub que hospeda o malware.
Nudes no TikTok usados para espalhar malware
Esse ataque foi tão bem-sucedido que o repositório malicioso alcançou o status de “Trending GitHub Project” e, apesar de ter sido renomeado, possui 103 estrelas e 18 bifurcações.
Entre os arquivos do projeto estão um executável do Windows Batch que, quando executado, instala um pacote Python malicioso (um downloader WASP) e um ReadMe que redireciona para um vídeo do YouTube contendo instruções para instalar o suposto removedor de filtro de malware TikTok.
Os analistas da Checkmarx descobriram que os invasores usaram vários pacotes carregados no PyPI, incluindo: “tiktok-filter-api”, “pyshftuler”, “pyiopcs” e “pydesings” junto com os novos que eles criam à medida que os antigos são removidos.
Por sua vez, os invasores usam uma técnica chamada “StarJacking” no PyPI. Ela consiste em vincular o projeto a um repositório GitHub não relacionado para fazer com que o pacote pareça legítimo.
O pacote malicioso copia o código original, mas inclui um trecho de código que instala o malware WASP no dispositivo que o executa.
Parece que o ataque ainda está ativo e que toda vez que a equipe de segurança do Python remove um dos pacotes maliciosos, ele muda rapidamente sua identidade e cria um novo.
«Esses ataques demonstram mais uma vez a tendência dos invasores de focar sua atenção no ecossistema de pacotes de código aberto; Acreditamos que essa tendência deve aumentar em 2023.
