Publican vídeos con enlaces a un software malicioso denominado "unfilter" que pretende eliminar los filtros aplicados
Los actores de amenazas están aprovechando un popular desafío de TikTok para engañar a los usuarios para que descarguen malware que roba información, según una nueva investigación de Checkmarx.
La tendencia, llamada Invisible Challenge (desafío invisible), consiste en aplicar un filtro conocido como Invisible Body que solo deja una silueta del cuerpo de la persona.
Pero el hecho de que las personas que filman tales vídeos puedan desnudarse ha llevado a un esquema nefasto en el que los atacantes publican vídeos de TikTok con enlaces a un software malicioso denominado "unfilter" que pretende eliminar los filtros aplicados.
"Las instrucciones son para hacer que el software 'desfiltrador' implemente el malware ladrón WASP escondido dentro de paquetes maliciosos de Python", dijo en un análisis del lunes el investigador de Checkmarx, Guy Nachshon.
El ladrón WASP (también conocido como W4SP Stealer) es un malware que está diseñado para robar las contraseñas de los usuarios, las cuentas de Discord, las billeteras de criptomonedas y otra información confidencial.
Se estima que los videos de TikTok publicados por los atacantes, @learncyber y @kodibtc, el 11 de noviembre de 2022, alcanzaron más de un millón de visitas. Las cuentas han sido suspendidas.
En el vídeo malicioso también se incluye un enlace de invitación a un servidor de Discord administrado por el adversario, que tenía casi 32.000 miembros antes de que se informara y eliminara. Las víctimas que se unen al servidor de Discord reciben posteriormente un enlace a un repositorio de GitHub que aloja el malware.
Desde entonces, el atacante cambió el nombre del proyecto a "Nitro-generator", pero no antes de que aterrizara en la lista de repositorios de tendencias de GitHub para el 27 de noviembre de 2022, al instar a los nuevos miembros en Discord a protagonizar el proyecto.
Además de cambiar el nombre del repositorio, el actor de amenazas eliminó archivos antiguos del proyecto y cargó otros nuevos, uno de los cuales incluso describió el código Python actualizado como "Es de código abierto, no es un **VIRUS**". La cuenta de GitHub ahora ha sido eliminada.
Se dice que el código del ladrón se incrustó en varios paquetes de Python, como "tiktok-filter-api", "pyshftuler", "pyiopcs" y "pydesings", y al ser eliminado los operadores publicaron rápidamente nuevos reemplazos en el Índice de paquetes de Python (PyPI ) con diferentes nombres.
"El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software está aumentando a medida que los atacantes se vuelven cada vez más inteligentes", señaló Nachshon. "Estos ataques demuestran una vez más que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto".
