Киберпрестъпници се възползват от "голо" предизвикателство в TikTok

Всеки интернет потребител с базови познания за сигурност знае, че снимането на неприлични видеоклипове носи огромни рискове от изнудване. Въпреки това много от новите приложения като TikTok се опитват да вървят "по ръба на бръснача", включително чрез разработения ефект "Невидимо тяло". Компанията твърди, че тази функция премахва потребителя от заснетото и публикувано видео, като остават само фонът и контурите на тялото. Както се случва често с подобни "хитри" ефекти, младежите си организират онлайн състезание, наречено Invisible Challenge, като потребителите на TikTok се осмеляват да се снимат на живо в различни етапи на събличане, доверявайки се на филтъра Invisible да работи достатъчно добре и да не показва тялото им. Явно това предизвикателство е станало доста популярно, видяно е от 25 милиона потребители на социалната мрежа, разчитащи на тази псевдоневидимост.

Интересът към този филтър е привлякъл и вниманието на киберпрестъпниците, които са разработили схема за кражбата на данни от любопитни зрители с може би не особено "чисти" намерения. Според двама изследователи на киберсигурността от Checkmarx хакери се възползват от предизвикателството, за да разпространят зловреден код, който краде имена, пароли, достъп до дигитални портфейли и други чувствителни данни. Софтуерното приложение е кръстено Unfilter, като обещава на тези, които да го свалят, да видят оригиналните, нецензурирани видео клипове.

Операцията е стартирана от двама потребители на TikTok, които се подвизават под имената learncyber and kodibtc. Те са успели да примамят над 30 000 души, които да се свържат със сървър Discord, за да получат приложението Unfilter чрез неговото GitHub хранилище. Киберпрестъпниците обичат паролите за социални мрежи и за приложения за незабавни съобщения, защото е много по-лесно да примамват нови жертви чрез затворена група, отколкото да се опитват да измамят хора, използвайки нежелани съобщения през "отворени за всички" канали като е-поща или SMS.

Атаката, очертана от Checkmarkx, включва популяризиране на предполагаемия инструмент Unfilter в самия TikTok. Така много недоброжелателни потребители са привлечени към сървър на Discord, за да го получат. Същевременно примамва потребителите да гласуват за проекта в GitHub, хостващ кода за "дефилтриране". По този начин софтуерът би изглеждал по-уважаван и надежден от нови и неизвестни проекти на GitHub. Освен това те убеждават потребителите да изтеглят и инсталират проекта от GitHub. Файлът README на проекта (официалната документация, която се появява, когато преглеждате страницата на проект в GitHub) дори включва връзка към видеоклип в YouTube, който обяснява процеса на инсталиране.

В същото време се инсталират куп свързани пакети на Python, които обаче свалят и стартират нов зловреден софтуер. Според изследователите на Checkmarx злонамереният софтуер е бил "заровен" в легитимно изглеждащи пакети, които са били посочени като т.нар. зависимости от веригата за доставки, необходими на предполагаемите инструменти за "дефилтриране". Но предоставените от нападателя версии на тези зависимости са модифицирани с един допълнителен ред "обфускиран" код на Python, за да извлече окончателния зловреден софтуер.

"Големият брой потребители, изкушени да се присъединят към този сървър на Discord и потенциално да инсталират този зловреден софтуер, е тревожен", обясняват изследователите Начсън и Фолкман. Нивото на манипулация, използвано от атакуващите веригата за доставки на софтуер, нараства, тъй като атакуващите стават все по-умни."

Разбира се, софтуерното приложение всъщност не премахва филтъра на TikTok. По-скоро то инсталира злонамерен софтуер, наречен WASP Stealer (Discord Token Grabber) или W4SP, който краде информация от профили в Discord, други идентификационни данни и данни за кредитни карти, съхранявани в уеб браузърите на жертвите, техните портфейли за криптовалута и други файлове. Всъщност този WASP зловреден код може да бъде купен за под $20, обясняват анализаторите от Sophos.

"Атаките демонстрират отново, че кибернападателите са започнали да фокусират вниманието си върху екосистемата от пакети с отворен код. Тази тенденция ще се ускори през 2023 г.", допълват изследователите от Checkmarx.

Какво да (не) се прави?

Анализаторите от Sophos дават няколко очевидни съвета какво да (не) се прави в ситуации като тази:

Не сваляйте и не инсталирайте софтуер само защото някой ви е казал за него, казват те. В този случай престъпниците, които стоят зад (вече затворените) профили в GitHub, използват социални медии и фалшиви потребители, за да създадат изкуствен шум около своите злонамерени пакети. "Напишете си домашното, не приемайте на сляпо думите на други хора, които не познавате, никога не сте срещали и никога няма да се запознаете", казват от Sophos.
Никога не позволявайте да бъдете уговорени да харесате нещо предварително. Никой, който е инсталирал този пакет със злонамерен софтуер, никога не би гласувал за него след това, като се има предвид, че всичко е пакет от лъжи. Ако давате мълчаливото си одобрение на проект в GitHub, без да знаете нищо за него, вие излагате другите на риск, като позволявате на злонамерени пакети да получат нещо, което изглежда като одобрение от общността - резултат, който мошениците не биха могли лесно да постигнат сами.
Не забравяйте, че и легитимен софтуер може да бъде хванат в капан чрез неговия инсталиращ код. Това означава, че софтуерът, който смятате, че инсталирате, може да се окаже само прикритие и очевидно коригиран в края на процеса. Злонамереният софтуер може да е имплантиран като таен страничен ефект от самия инсталационен процес, вместо да се показва в софтуера, който действително е инсталиран. Това означава, че злонамереният софтуер ще остане дори ако напълно деинсталирате легитимните компоненти, които следователно действат като нещо като прикритие за атаката.
Нараняването на един вреди на всички. "Не очаквайте съчувствие, ако собствените ви данни бъдат откраднати, защото сте търсили "мърляво звучащо" приложение, което сте се надявали да превърне безобидни видеоклипове в неволни порноклипове, предупреждават от Sophos. Не очаквайте и съчувствие, ако вашето безразсъдство доведе до това ваши колеги, приятели и семейство да бъдат ударени от спамъри и измамници, насочени към тях от откраднатите от вас пароли за приложения за моментални съобщения или социални мрежи."