Злоумышленники всё чаще обращают внимание на платформы, которые на первый взгляд кажутся нетипичной целью для кражи учётных данных. Однако за последние недели специалисты по информационной безопасности зафиксировали всплеск активности, направленной именно на аккаунты TikTok, используемые компаниями для управления рекламными кампаниями. Этот вектор атаки представляет серьёзную угрозу для рекламных бюджетов и конфиденциальных данных, поскольку скомпрометированные учётные записи могут быть использованы для распространения вредоносной рекламы, кражи средств и последующего взлома других сервисов через единый вход.
Описание
В конце марта исследовательская команда Push обнаружила группу недавно зарегистрированных фишинговых страниц, которые имитируют интерфейс TikTok для бизнеса, а также страницу Google Careers с формой "Запланировать звонок". Все эти домены были зарегистрированы 24 марта в течение всего девяти секунд, что указывает на автоматизированный процесс создания инфраструктуры. В качестве регистратора использовался Nicenic International Group - компания, которая нередко фигурирует в массовых регистрациях фишинговых доменов. Страницы размещены за защитой Cloudflare, что усложняет их блокировку на уровне сети. Имена доменов следуют единому шаблону - разные вариации welcome.careers*[.]com, и, по мнению экспертов, их число будет быстро расти.
Методика атаки построена на использовании AITM (атака типа "злоумышленник посередине"), при которой вредоносный сервер выступает как обратный прокси, перехватывая сессионные cookie и пароли. Жертва переходит по ссылке, которая сначала незаметно редиректит через легитимное хранилище Google, затем проходит проверку Cloudflare Turnstile, предназначенную для обхода автоматизированных систем анализа. Далее пользователь видит либо страницу TikTok для бизнеса, либо страницу Google Careers с предложением заполнить базовую форму. После ввода данных открывается поддельная страница входа, которая через AITM-прокси передаёт учётные данные злоумышленникам. Примечательно, что в поддельной странице TikTok кнопка "Войти через TikTok" заменена на "Войти через Google", а сама форма требует корпоративный адрес электронной почты.
В отчёте Push подробно описывает цепочку заражения и связывает новую кампанию с аналогичными атаками, зафиксированными в конце прошлого года. Тогда злоумышленники использовали похожие поддельные страницы Google Careers, чтобы заполучить доступ к аккаунтам Google Ad Manager. Учитывая преемственность тактик, исследователи полагают, что в основе лежит единая группировка, специализирующаяся на малвертайзинге - вредоносной рекламе. После захвата рекламного кабинета злоумышленники могут как размещать объявления, ведущие на фишинговые страницы и инсталляторы вредоносного ПО, так и похищать выделенный рекламный бюджет через мошеннические показы.
Выбор TikTok в качестве цели может показаться неожиданным. Однако за последние полтора года платформа активно использовалась для распространения ссылок и инструкций по установке программ-похитителей данных, таких как Vidar, StealC и Aura Stealer. Эти программы распространялись через видеоролики с искусственным интеллектом, которые якобы показывали, как активировать Windows, Spotify или CapCut. Зрителей просили открыть консоль PowerShell и вставить команду, после чего на устройство загружался инфостилер. Один такой ролик набрал около полумиллиона просмотров и более 20 тысяч лайков. Кроме того, TikTok остаётся средой для криптовалютных мошенников: здесь публикуются дипфейковые видео со знаменитостями, а также рассылаются вредоносные сообщения в личные диалоги.
Наибольшую угрозу представляет то, что большинство корпоративных пользователей выбирают вход в TikTok через единый вход Google. В результате успешная атака через AITM-фишинг компрометирует не только учётную запись TikTok, но и связанный с ней аккаунт Google, что открывает доступ к Google Ad Manager - инструменту управления рекламными кампаниями. Дальнейший сценарий уже хорошо изучен: злоумышленники используют взломанный аккаунт для запуска вредоносных объявлений, кражи бюджетов и распространения дополнительных вредоносных программ, включая программы удалённого управления и инфостилеры. Таким образом, одна успешная атака может привести к цепной реакции, затрагивающей несколько сервисов.
Специалисты рекомендуют компаниям, использующим TikTok для бизнеса, обратить особое внимание на фильтрацию входящих писем с неожиданными ссылками, внедрить многофакторную аутентификацию на всех критичных учётных записях и проверять любые формы ввода через официальные приложения, а не через браузерные ссылки. Однако главный вывод из этого инцидента - злоумышленники безостановочно ищут новые платформы, где можно получить доступ к платёжеспособной аудитории. И TikTok, с его огромной пользовательской базой и растущим рекламным бюджетом, становится для них всё более привлекательной мишенью.
Индикаторы компрометации
URLs
- storage.googleapis.com/fiz2a4s014vt8q4l5i0m1m7b0gl/
Domains
- welcome.careerscrews.com
- welcome.careersengage.com
- welcome.careersgrower.com
- welcome.careersprogress.com
- welcome.careersstaffgrid.com
- welcome.careerssuccess.com
- welcome.careerstaffer.com
- welcome.careerstransform.com
- welcome.careersupskill.com
- welcome.careersworkflow.com
