Компания CTM360, специализирующаяся на кибербезопасности, обнаружила масштабную мошенническую кампанию под названием ClickTok, направленную на пользователей TikTok Shop. Злоумышленники создают фишинговые сайты и распространяют вредоносные приложения, имитирующие официальную платформу для покупок внутри TikTok.
Как работает схема?
Атакующие используют несколько методов для обмана пользователей, включая поддельные рекламные объявления в Meta (Facebook, Instagram)* и видео с искусственно созданным контентом, имитирующим популярных блогеров или брендовых амбассадоров. Эти материалы содержат ссылки на фишинговые страницы или заражённые приложения.
Особое внимание уделяется доменам, которые визуально похожи на официальные адреса TikTok Shop, но используют дешёвые зоны (.top, .shop, .icu). На данный момент обнаружено более 10 000 таких сайтов, включая поддельные версии TikTok Wholesale и TikTok Mall.
Фишинг и вредоносное ПО
Кампания разделена на два направления:
- Фишинговые страницы - предлагают пользователям ввести логин и пароль от TikTok, после чего данные попадают к злоумышленникам.
- Троянские приложения - маскируются под официальные программы TikTok Shop, но содержат модифицированный шпионский модуль SparkKitty.
Вредоносное ПО способно:
- Обходить защитные механизмы iOS, имитируя системные уведомления для получения разрешений.
- Красть данные из галереи (например, скриншоты с криптокошельками).
- Отправлять украденную информацию на серверы злоумышленников через зашифрованные каналы.
Глобальный охват и способы обмана
Хотя TikTok Shop официально доступен только в 17 странах, мошенники атакуют пользователей по всему миру. Для распространения ссылок они используют:
- QR-коды в рекламе.
- Короткие URL (ссылки-сократители).
- Более 5000 сайтов для загрузки вредоносных приложений.
Кроме того, злоумышленники внедряют финансовые схемы, предлагая жертвам пополнить криптовалютные кошельки (например, USDT) под предлогом участия в партнёрской программе или получения скидок.
Эксперты также отмечают, что инфраструктура злоумышленников частично уязвима для обнаружения - серверы управления (C2) используют статические адреса, что может помочь в блокировке.
Кампания ClickTok демонстрирует, насколько изощрёнными стали схемы мошенников, эксплуатирующие популярные платформы. Владельцам аккаунтов TikTok и пользователям маркетплейса стоит проявлять повышенную бдительность.
* Организация Meta, а также её продукты Facebook и Instagram, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.
