CTM360 کمپین مخرب «FraudOnTok» را شناسایی کرد که کاربران TikTok Shop را هدف قرار می‌دهد.

CTM360 کمپین بدافزاری جهانی جدیدی با عنوان “FraudOnTok” را شناسایی کرده است که از طریق فروشگاه‌های جعلی TikTok اقدام به انتشار جاسوس‌افزار SparkKitty کرده و با هدف سرقت کیف‌پول‌های رمزارز و تخلیه سرمایه کاربران فعالیت می‌کند.

تروجان جاسوس‌افزار منحصربه‌فردی که توسط CTM360 کشف شده، به‌طور خاص برای سوءاستفاده از کاربران TikTok Shop در سطح جهانی طراحی شده است.

این کمپین که با عنوان “FraudOnTok” شناخته می‌شود، یک عملیات فریبکارانه هماهنگ و پیشرفته است که از یک مدل ترکیبی (Hybrid Scam Model) شامل Phishing و Malware برای هدف قرار دادن خریداران و مشارکت‌کنندگان در برنامه‌های Affiliate در پلتفرم در حال رشد تجارت الکترونیک TikTok استفاده می‌کند.

در این کمپین، فروشگاه‌های TikTok جعلی شناسایی شده‌اند که با جاسوس‌افزار SparkKitty آلوده شده‌اند؛ این بدافزار نسخه‌ای مشابه SparkCat است که پیش‌تر توسط Kaspersky شناسایی شده بود.

پس از نصب، این بدافزار به دستگاه قربانی نفوذ کرده، به گالری تصاویر دسترسی یافته و از طریق استخراج Screenshot‌ها، داده‌هایی را که ممکن است شامل اطلاعات کیف‌پول رمزارزی باشند، جمع‌آوری می‌کند. آنچه که FraudOnTok را متمایز می‌سازد، استفاده همزمان از تکنیک‌های Phishing و Malware است که تأثیری مضاعف و پنهان‌کارانه ایجاد می‌کند.

سناریوی حمله با جعل زیرساخت تجاری TikTok شامل TikTok Shop، TikTok Wholesale و TikTok Mall آغاز می‌شود. مهاجمان وب‌سایت‌های جعلی TikTok طراحی می‌کنند که ظاهری بسیار مشابه نسخه رسمی دارند و کاربران را فریب می‌دهند تا تصور کنند با پلتفرم اصلی تعامل دارند.

قربانیان با هدف خرید، اقدام به ورود به حساب خود می‌کنند. در جریان فرآیند خرید، از آنها خواسته می‌شود که پرداخت را از طریق کیف‌پول رمزارز انجام دهند.

پس از انجام پرداخت، اپلیکیشن آلوده به SparkKitty به‌طور مخفیانه اقدام به سرقت اطلاعات حساس، از جمله Wallet Credentials، از طریق خواندن تصاویر و اسکرین‌شات‌های ذخیره‌شده در دستگاه می‌کند و در نهایت منجر به سرقت دارایی‌های دیجیتال می‌شود.

CTM360 با انجام یک تحلیل عمیق، گزارش جامعی در خصوص تروجان FraudOnTok منتشر کرده است.

در این گزارش، نحوه انتشار جاسوس‌افزار SparkKitty از طریق اپلیکیشن‌های آلوده، صفحات Phishing و کلاه‌برداری‌های مبتنی بر هوش مصنوعی شرح داده شده است.

هدف مهاجمان از اجرای FraudOnTok – ساختار کلاه‌برداری ترکیبی

مهاجمان دو هدف اصلی را دنبال می‌کنند:

Phishing Websites
مهاجمان با استفاده از تبلیغات Meta، کاربران را به باز کردن URLهای جعلی فروشگاه‌ها ترغیب می‌کنند. این صفحات از کاربران درخواست ورود اطلاعاتی نظیر نام کاربری، اطلاعات پرداخت یا مشخصات فروشنده می‌کنند که تمامی این داده‌ها به‌صورت مخفیانه جمع‌آوری می‌شود.

اپلیکیشن‌های Trojanized:
در نسخه‌های موبایلی، این وب‌سایت‌ها کاربران را ترغیب می‌کنند تا اپلیکیشن‌های تغییر یافته TikTok را نصب کنند؛ اپلیکیشن‌هایی که با جاسوس‌افزار مخرب SparkKitty آلوده شده‌اند. این نسخه از بدافزار قابلیت نظارت عمیق بر دستگاه، Clipboard Scraping و سرقت Credentials را داراست.

این اپلیکیشن‌های جعلی دارای رابط کاربری کاملاً مشابه نسخه رسمی فروشگاه TikTok هستند و قربانیان را فریب می‌دهند تا تصور کنند با یک اپلیکیشن معتبر تعامل دارند، در حالی‌که به‌طور پنهانی اقدام به استخراج اطلاعات حساس در پس‌زمینه می‌کنند.

تبلیغات جعلی، ویدئوهای تولیدشده با هوش مصنوعی و دامنه‌های مشابه (Lookalike Domains)
مهاجمان کمپین FraudOnTok از ویدئوهای جعلی تولیدشده با هوش مصنوعی (AI-generated Videos) و تبلیغات پلتفرم Meta برای دستیابی به دامنه وسیع‌تری از کاربران استفاده می‌کنند. این تبلیغات، کاربران را به دامنه‌های جعلی Cybersquatted هدایت می‌کنند که به‌دقت طراحی شده‌اند تا مشابه آدرس‌های واقعی TikTok به‌نظر برسند.

بر اساس مشاهدات CTM360 تاکنون:

• بیش از ۱۰,۰۰۰ وب‌سایت جعلی که هویت TikTok را جعل کرده‌اند، شناسایی شده است. بسیاری از این وب‌سایت‌ها از دامنه‌های سطح بالای رایگان یا ارزان‌قیمت مانند .top، .shop، .icu و موارد مشابه استفاده می‌کنند.
• بیش از ۵,۰۰۰ نمونه اپلیکیشن مخرب منحصربه‌فرد، که از طریق QR Code، پیام‌رسان‌ها و دانلودهای درون‌برنامه‌ای منتشر شده‌اند.
• کمپین‌های کلاه‌برداری که نه‌تنها TikTok Shop، بلکه TikTok Wholesale و TikTok Mall را نیز جعل می‌کنند.

انگیزه و شیوه کسب درآمد (Motive & Monetization)
کمپین FraudOnTok با استفاده از صفحات جعلی ورود به TikTok Shop اقدام به Harvesting اطلاعات کاربری و توزیع بدافزار از طریق اپلیکیشن‌های Trojanized می‌کند که منجر به Account Hijacking می‌شود.

در این حمله، ساختار پرداخت جایگزینی پیاده‌سازی شده است که تراکنش‌های مرسوم کارت‌های بانکی را کنار گذاشته و کاربران را ملزم به پرداخت از طریق Cryptocurrency Wallet می‌نماید.

قربانیان اغلب ترغیب می‌شوند که کیف‌پول‌های جعلی TikTok یا رمزارزهایی مانند USDT، ETH و سایر دارایی‌های دیجیتال را Top Up کنند.

توصیه‌های CTM360
CTM360 به کاربران و سازمان‌ها هشدار می‌دهد تا هوشیار باقی مانده و اقدامات پیشگیرانه زیر را مدنظر قرار دهند:

• از دانلود نرم‌افزارهای Modded، Cracked یا ناشناس، به‌ویژه از سایت‌های Torrent و پلتفرم‌هایی مانند Telegram خودداری کنید.
• همواره پیش از وارد کردن اطلاعات ورود یا پرداخت، اصالت دامنه را بررسی کرده و به‌صورت دستی وجود اشتباهات املایی یا پسوندهای مشکوک را بررسی کنید.
• هرگونه محتوای مشکوک، تبلیغات یا اپلیکیشن مرتبط با TikTok را به‌طور مستقیم به TikTok یا مراجع امنیت سایبری کشور خود گزارش دهید.
• برندها و فروشندگان می‌بایست از طریق پلتفرم‌های Threat Intelligence، به‌صورت منظم سوء‌استفاده‌های برند و روند جعل هویت را پایش کنند.
• استفاده از یک راهکار قوی Antivirus یا EDR Solution برای جلوگیری از نفوذ جاسوس‌افزار SparkKitty توصیه می‌شود.
• در صورت استفاده از کیف‌پول رمزارز، گزینه‌ای را انتخاب کنید که از Clipboard Protection برخوردار باشد.

اکنون گزارش کامل FraudOnTok را مطالعه کنید.