A Checkmarx új jelentése szerint kiberbűnözők egy népszerű TikTok kihívást kihasználva terjesztenek káros kódot.
A netes kihívás (challenge) lényege, hogy a kihívó valamilyen feladat elvégzésére buzdító üzenetet tesz közzé, legtöbbször egy közösségi média oldalon. A kihíváson bárki részt vehet, aki elvégzi ezt a feladatot, és azt valamilyen módon megörökíti, például fényképet vagy videót készít róla, ezután pedig közzéteszi az adott platformon. A kihívások sok esetben teljesen ártalmatlanok ─ mint a BookBucketChallenge, amin úgy lehet részt venni, hogy valaki megosztja 10 kedvenc könyvének nevét valamelyik közösségi oldalon ─ azonban kifejezetten balesetveszélyes kihívások is terjednek, amik már nem egy esetben végződtek halállal.
A Checkmarx nemrég egy másfajta veszélyre hívta fel a figyelmet az egyik új kihívás (“Invisible Challenge”) kapcsán. A kihívás arról szól, hogy a TikTokozó készítsen magáról egy meztelen felvételt, amin egy speciális szűrő (invisible body) segítségével kitakarja ─ elmosódottá teszi ─ a testét.
A malware-terjesztő kampány
A hackerek saját videókat kezdtek posztolni, amikben olyan linkeket helyeztek el, amikről állítólag olyan („unfilter”) szoftverek érhetőek el, amik képesek eltávolítani a szűrőt, ezzel felfedve a videón szereplők meztelen testét. Azok, akik a linkre kattintva letöltötték a programot, nagy hibát vétettek, ugyanis az valójában a W4SP-stealer nevű információlopó káros kód egy verziója.
Guy Nachson, a Checkmarx kutatója szerint pontosan nem tudni, hogy hányan töltötték le a vírust, azonban azt igen, hogy a hackerek videóit csupán néhány nap alatt több, mint egy millióan tekintették meg, a linkeket hosztoló Discord szerverhez több, mint harmincezren csatlakoztak, a káros kódot tartalmazó GitHub repository pedig olyan látogatott volt, hogy a GitHub trending projects toplistájába is bekerült.
A hackerek kampányának sikeréhez minden bizonnyal a tavalyi „sziluett kihívás” is hozzájárulhatott. Ha emlékszünk, akkor a lengén öltözött TikTokozók egy piros szűrővel takarták ki magukat, azonban ez a szűrő videószerkesztő programokkal könnyen eltávolítható volt, ám addigra szép számmal kerültek ki a kihívásra válaszoló videók.
A szakértők szerint kifejezetten aggasztó tényező, hogy a malware-terjesztő kampányt a támadók teljesen legitim platformokon végezték, ami egy újabb jó példa arra, hogy a kibertámadók egyre nagyobb mértékben használják ki a nyílt forráskódú ökoszisztémákat.
I-oC-k:
hxxp://51.103.210[.]236/inject/UU7X9zT79b6aHuvL
hxxp://51.103.210[.]236/grab/UU7X9zT79b6aHuvL
hxxp://51.103.210[.]236:80/inject/qiNbZFHkBHmbLQXS
hxxp://51.103.210[.]236:80/grab/qiNbZFHkBHmbLQXS
hxxp://51.103.210[.]236:80/inject/VSpinLJKHaPMTkic
hxxp://51.103.210[.]236:80/grab/VSpinLJKHaPMTkic
https://discord[.]com/api/webhooks/1044295414020587650/3l60HCxWLPcvPDrX0ya8k5G0BqXID249O_vo5k9YcpoxEFuLCQiNNJ0q36B-TIj5Qk_9
https://discord[.]com/api/webhooks/1046564179353554964/S-YczC9MbFOffb_iurk2zDjC6-qhYtt7R4iL4llU3gyxFpt01HxFgJahZUPSgyKAt8cw
https://discord[.]com/api/webhooks/1046012997287546971/oyHY2IvyYkYPfq7OQYBn0owVeek0ssXyLz8Y2hCTJ2TzZmrL9MooIjLlqMhn1Ya1DzWn
