Los hackers se están aprovechando del nuevo challenge de TikTok llamado «Invisible Body» para engañar a los usuarios tratando de que instalen malware que permite robar sus contraseñas, cuentas de Discord y, potencialente, tarjetas de crédito y wallets de criptomonedas.
El nuevo trend de TikTok requiere que te grabes desnudo usando el filtro «Invisible Body» (Cuerpo invisible), que elimina la parte del cuerpo en el vídeo y la reemplaza por un fondo borroso.
Para aprovecharse de esto, los atacantes están subiendo vídeos a la plataforma en los que declaran ofrecer una aplicación que quita el filtro de los vídeos exponiendo a la persona desnuda.
En realidad, el sofware que se descargan es obviamente fake y en cambio instala un «WASP Stealer (Discord Token Grabber)». Este consiste en un malware capaz de robar cuentas de discord, contraseñas y tarjetas de crédito guardadas en el navegador, wallets de criptomonedas e incluso archivos del terminal de la víctima.
Los vídeos subidos por los atacantes alcanzan más del millón de visitas al poco de ser subidos a un servidor de Discord que utilizan superando los 30.000 miembros.
Trends de TikTok en el punto de mira
Los investigadores encontraron dos vídeos de TikTok subidos por los atacantes que amasaban más del millón de visitas entre ambos.
Las ya eliminadas cuentas de TikTok que los subieron (@learncyber y @kodibtc) promocionaban un servidor de Discord con el nombre «Space Unfilter».
Desde entonces, los atacantes han trasladado ese servidor de Discord pero Checkmarx declara que llegó a tener aproximadamente 32.000 miembros.
Una vez las víctimas se unían al servidor de Discord, podían ver un link subido por un bot que apuntaba a un repositorio de GitHub que alojaba el malware.
Este ataque ha sido tan exitoso que el repositorio malicioso ha alcanzado el estatus de «Proyecto de GitHub en tendencia» y que, a pesar de haber sido renombrado, tiene 103 estrellas y 18 forks.
Entre los archivos del proyecto se encuentra un ejecutable Batch de Windows que, al ejecutarse, instala un paquete malicioso de Python (un WASP downloader) y un ReadMe que redirige a un video de YouTube que contiene las instrucciones para instalar el supuesto eliminador del filtro de TikTok.
Se descubrieron que los atacantes usaban múltiples paquetes subidos a PyPI, entre ellos: «tiktok-filter-api», «pyshftuler», «pyiopcs», y «pydesings» junto con otros nuevos que van creando conforme se eliminan los anteriores.
A su vez, los atacantes usan la técnica llamada «StarJacking» en PyPI que consiste en vincular el proyecto con un repositorio de GitHub que no tiene nada que ver para que el paquete parezca legítimo.
El paquete malicioso copia el código original, pero incluye un fragmento de código que instala el malware WASP en el dispoditivo que lo ejecuta.
«Parece que el ataque sigue activo, y que cada vez que el equipo de seguridad de Python elimina alguno de los paquetes maliciosos, rápidamente se cambia de identidad y crea uno nuevo».
«Estos ataques demuestran una vez más la tendencia de los atacantes a enfocar su atención al ecosistema de paquetes open-source; Creemos que esta tendencia sólo tenderá al alza en 2023″
Actualmente el servidor de Discord «Unfilter Space» ha sido dado de baja, pero los atacantes declaran haberlo trasladado a otro servidor.
Créditos: Nicolás Moret Yáñez