Dos investigadores de seguridad han dado la alarma sobre los peligros personales de participar en desafíos virales de TikTok y de dejarse atraer por promesas que parecen demasiado buenas para ser verdad, después de descubrir evidencia de una operación de malware dirigida a usuarios de la plataforma con la promesa de ver desnudos. vídeos
El Invisible Challenge requiere que los participantes se filmen desnudos usando un efecto TikTok llamado Invisible Body, que elimina su cuerpo del video y lo reemplaza con una imagen de contorno borrosa. El desafío es cada vez más popular y su hashtag principal ahora tiene más de 25 millones de visitas.
Sin embargo, según Guy Nachshon y Tal Folkman de Checkmarx, un especialista en pruebas de seguridad de aplicaciones, el desafío ha atraído la atención de actores maliciosos que lo están explotando para distribuir un malware que roba datos bajo la apariencia de una aplicación de software llamada Unfilter, que supuestamente permite a los usuarios ver los videos originales sin censura.
La operación está a cargo de dos usuarios de TikTok que se hacen llamar “learncyber” y “kodibtc”, quienes hasta el momento han invitado a más de 30,000 personas a unirse a un servidor de Discord para obtener la aplicación Unfilter a través de su repositorio de GitHub.
“La gran cantidad de usuarios tentados a unirse a este servidor Discord y potencialmente instalar este malware es preocupante”, escribieron Nachshon y Folkman. “El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software está aumentando a medida que los atacantes se vuelven cada vez más inteligentes”.
Por supuesto, la aplicación de software en realidad no elimina el filtro TikTok. Más bien, instala un malware llamado WASP Stealer (Discord Token Grabber), un ladrón de información que se dirige a cuentas de Discord, otras credenciales y datos de tarjetas de crédito almacenados en los navegadores web de las víctimas, billeteras de criptomonedas y otros archivos.
Nachshon y Folkman dijeron que la campaña parecía estar vinculada a otros paquetes maliciosos de Python y que parte del código podría haber sido robado de un paquete legítimo.
StarJacking
Es posible que los atacantes también hayan utilizado una técnica conocida como StarJacking, que consiste esencialmente en secuestrar la calificación de GitHub Stars del paquete legítimo para que parezca más popular de lo que realmente es. También habían estado enviando a los nuevos registros un mensaje privado desde una cuenta de bot con una solicitud para que sus víctimas protagonizaran el repositorio de GitHub, que como resultado ha ganado el estatus de proyecto de tendencia.
En un momento, dijeron los investigadores, después de que el paquete malicioso fuera capturado y eliminado por la Iniciativa de paquete de Python (PyPi), los usuarios pudieron improvisar rápidamente y crear nuevas identidades. Ambos usuarios también fueron expulsados de TikTok y su servidor Discord original suspendido, aunque Nachshon y Folkman dijeron que afirman haberse mudado a otro servidor.
“Estos ataques demuestran nuevamente que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto; creemos que esta tendencia solo se acelerará en 2023”, dijeron los investigadores.
“A medida que vemos más y más ataques diferentes, es fundamental acelerar el flujo de información sobre estos ataques entre todas las partes involucradas: registros de paquetes, investigadores de seguridad. [and] desarrolladores: para proteger el ecosistema de código abierto contra esas amenazas”.
Javvad Malik, principal defensor de la conciencia de seguridad en KnowBe4, dijo: “Los delincuentes siempre están buscando formas de engañar a las personas para que descarguen malware. Esto podría ser a través de ofertas de obsequios, haciéndose pasar por grandes marcas, miedo a perder una cuenta, curiosidad y cualquier otra cuerda emocional que puedan mover.
“El filtro de cuerpo invisible está diseñado específicamente para provocar una respuesta emocional, por lo que es una tendencia en este momento. Los delincuentes saben que el atractivo de poder revertir el filtro sería demasiado grande para que muchos se resistan, y tienen razón.
“Es por eso que es importante dar un paso atrás y pensar antes de descargar cualquier software, particularmente cuando proviene de fuentes desconocidas, especialmente en canales de chat como Discord”, dijo Malik.