Des chercheurs en cybersécurité ont découvert une vaste campagne malveillante qui cible les utilisateurs de TikTok Shop à l’échelle mondiale, dans le but de voler des identifiants et de distribuer des applications malveillantes. La société de cybersécurité CTM360 a nommé cette opération ClickTok, mettant en évidence comment les acteurs de la menace exploitent la plateforme de commerce électronique à travers une stratégie duale combinant phishing et malware.
Une arnaque pas très sophistiquée, mais très efficace
Plus de 15 000 domaines imitant des URL légitimes de TikTok ont été identifiés, beaucoup d’entre eux hébergés sur des domaines de premier niveau comme .top, .shop et .icu. Ces sites frauduleux sont conçus pour tromper les utilisateurs, leur faisant croire qu’ils interagissent avec la plateforme officielle ou avec des affiliés légitimes. Les pages de phishing attirent les utilisateurs à déposer des cryptomonnaies dans des boutiques frauduleuses, en offrant des réductions et des produits inexistants.
Le cœur de cette campagne implique l’utilisation d’une application malveillante contenant un malware connu sous le nom de SparkKitty. Ce malware a la capacité de collecter des données des appareils Android et iOS, ainsi que d’analyser des portefeuilles de cryptomonnaies. Les utilisateurs qui téléchargent cette application sont amenés à saisir leurs identifiants de connexion, seulement pour faire face à des échecs qui les redirigent vers une connexion alternative via Google.
De plus, un autre type de phishing ciblant les utilisateurs de Meta Business Suite a été identifié, à travers de faux courriels alertant sur des violations de politiques. Le réseau de lutte contre les crimes financiers du département du Trésor américain a exhorté les institutions financières à rester vigilantes face aux activités suspectes liées aux kiosques de monnaie virtuelle convertible, alors que les criminels continuent de tirer parti des technologies innovantes pour commettre des fraudes.
