CTM360 کمپین مخرب «FraudOnTok» را شناسایی کرد که کاربران TikTok Shop را هدف قرار میدهد.
CTM360 کمپین بدافزاری جهانی جدیدی با عنوان “FraudOnTok” را شناسایی کرده است که از طریق فروشگاههای جعلی TikTok اقدام به انتشار جاسوسافزار SparkKitty کرده و با هدف سرقت کیفپولهای رمزارز و تخلیه سرمایه کاربران فعالیت میکند.
تروجان جاسوسافزار منحصربهفردی که توسط CTM360 کشف شده، بهطور خاص برای سوءاستفاده از کاربران TikTok Shop در سطح جهانی طراحی شده است.
این کمپین که با عنوان “FraudOnTok” شناخته میشود، یک عملیات فریبکارانه هماهنگ و پیشرفته است که از یک مدل ترکیبی (Hybrid Scam Model) شامل Phishing و Malware برای هدف قرار دادن خریداران و مشارکتکنندگان در برنامههای Affiliate در پلتفرم در حال رشد تجارت الکترونیک TikTok استفاده میکند.
در این کمپین، فروشگاههای TikTok جعلی شناسایی شدهاند که با جاسوسافزار SparkKitty آلوده شدهاند؛ این بدافزار نسخهای مشابه SparkCat است که پیشتر توسط Kaspersky شناسایی شده بود.
پس از نصب، این بدافزار به دستگاه قربانی نفوذ کرده، به گالری تصاویر دسترسی یافته و از طریق استخراج Screenshotها، دادههایی را که ممکن است شامل اطلاعات کیفپول رمزارزی باشند، جمعآوری میکند. آنچه که FraudOnTok را متمایز میسازد، استفاده همزمان از تکنیکهای Phishing و Malware است که تأثیری مضاعف و پنهانکارانه ایجاد میکند.
سناریوی حمله با جعل زیرساخت تجاری TikTok شامل TikTok Shop، TikTok Wholesale و TikTok Mall آغاز میشود. مهاجمان وبسایتهای جعلی TikTok طراحی میکنند که ظاهری بسیار مشابه نسخه رسمی دارند و کاربران را فریب میدهند تا تصور کنند با پلتفرم اصلی تعامل دارند.
قربانیان با هدف خرید، اقدام به ورود به حساب خود میکنند. در جریان فرآیند خرید، از آنها خواسته میشود که پرداخت را از طریق کیفپول رمزارز انجام دهند.
پس از انجام پرداخت، اپلیکیشن آلوده به SparkKitty بهطور مخفیانه اقدام به سرقت اطلاعات حساس، از جمله Wallet Credentials، از طریق خواندن تصاویر و اسکرینشاتهای ذخیرهشده در دستگاه میکند و در نهایت منجر به سرقت داراییهای دیجیتال میشود.
CTM360 با انجام یک تحلیل عمیق، گزارش جامعی در خصوص تروجان FraudOnTok منتشر کرده است.
در این گزارش، نحوه انتشار جاسوسافزار SparkKitty از طریق اپلیکیشنهای آلوده، صفحات Phishing و کلاهبرداریهای مبتنی بر هوش مصنوعی شرح داده شده است.
هدف مهاجمان از اجرای FraudOnTok – ساختار کلاهبرداری ترکیبی
مهاجمان دو هدف اصلی را دنبال میکنند:
Phishing Websites
مهاجمان با استفاده از تبلیغات Meta، کاربران را به باز کردن URLهای جعلی فروشگاهها ترغیب میکنند. این صفحات از کاربران درخواست ورود اطلاعاتی نظیر نام کاربری، اطلاعات پرداخت یا مشخصات فروشنده میکنند که تمامی این دادهها بهصورت مخفیانه جمعآوری میشود.
اپلیکیشنهای Trojanized:
در نسخههای موبایلی، این وبسایتها کاربران را ترغیب میکنند تا اپلیکیشنهای تغییر یافته TikTok را نصب کنند؛ اپلیکیشنهایی که با جاسوسافزار مخرب SparkKitty آلوده شدهاند. این نسخه از بدافزار قابلیت نظارت عمیق بر دستگاه، Clipboard Scraping و سرقت Credentials را داراست.
این اپلیکیشنهای جعلی دارای رابط کاربری کاملاً مشابه نسخه رسمی فروشگاه TikTok هستند و قربانیان را فریب میدهند تا تصور کنند با یک اپلیکیشن معتبر تعامل دارند، در حالیکه بهطور پنهانی اقدام به استخراج اطلاعات حساس در پسزمینه میکنند.
تبلیغات جعلی، ویدئوهای تولیدشده با هوش مصنوعی و دامنههای مشابه (Lookalike Domains)
مهاجمان کمپین FraudOnTok از ویدئوهای جعلی تولیدشده با هوش مصنوعی (AI-generated Videos) و تبلیغات پلتفرم Meta برای دستیابی به دامنه وسیعتری از کاربران استفاده میکنند. این تبلیغات، کاربران را به دامنههای جعلی Cybersquatted هدایت میکنند که بهدقت طراحی شدهاند تا مشابه آدرسهای واقعی TikTok بهنظر برسند.
بر اساس مشاهدات CTM360 تاکنون:
- بیش از ۱۰,۰۰۰ وبسایت جعلی که هویت TikTok را جعل کردهاند، شناسایی شده است. بسیاری از این وبسایتها از دامنههای سطح بالای رایگان یا ارزانقیمت مانند .top، .shop، .icu و موارد مشابه استفاده میکنند.
- بیش از ۵,۰۰۰ نمونه اپلیکیشن مخرب منحصربهفرد، که از طریق QR Code، پیامرسانها و دانلودهای درونبرنامهای منتشر شدهاند.
- کمپینهای کلاهبرداری که نهتنها TikTok Shop، بلکه TikTok Wholesale و TikTok Mall را نیز جعل میکنند.
انگیزه و شیوه کسب درآمد (Motive & Monetization)
کمپین FraudOnTok با استفاده از صفحات جعلی ورود به TikTok Shop اقدام به Harvesting اطلاعات کاربری و توزیع بدافزار از طریق اپلیکیشنهای Trojanized میکند که منجر به Account Hijacking میشود.
در این حمله، ساختار پرداخت جایگزینی پیادهسازی شده است که تراکنشهای مرسوم کارتهای بانکی را کنار گذاشته و کاربران را ملزم به پرداخت از طریق Cryptocurrency Wallet مینماید.
قربانیان اغلب ترغیب میشوند که کیفپولهای جعلی TikTok یا رمزارزهایی مانند USDT، ETH و سایر داراییهای دیجیتال را Top Up کنند.
توصیههای CTM360
CTM360 به کاربران و سازمانها هشدار میدهد تا هوشیار باقی مانده و اقدامات پیشگیرانه زیر را مدنظر قرار دهند:
- از دانلود نرمافزارهای Modded، Cracked یا ناشناس، بهویژه از سایتهای Torrent و پلتفرمهایی مانند Telegram خودداری کنید.
- همواره پیش از وارد کردن اطلاعات ورود یا پرداخت، اصالت دامنه را بررسی کرده و بهصورت دستی وجود اشتباهات املایی یا پسوندهای مشکوک را بررسی کنید.
- هرگونه محتوای مشکوک، تبلیغات یا اپلیکیشن مرتبط با TikTok را بهطور مستقیم به TikTok یا مراجع امنیت سایبری کشور خود گزارش دهید.
- برندها و فروشندگان میبایست از طریق پلتفرمهای Threat Intelligence، بهصورت منظم سوءاستفادههای برند و روند جعل هویت را پایش کنند.
- استفاده از یک راهکار قوی Antivirus یا EDR Solution برای جلوگیری از نفوذ جاسوسافزار SparkKitty توصیه میشود.
- در صورت استفاده از کیفپول رمزارز، گزینهای را انتخاب کنید که از Clipboard Protection برخوردار باشد.
اکنون گزارش کامل FraudOnTok را مطالعه کنید.