TikTok ‘Invisible Body’ challenge exploited to push Malware
แฮกเกอร์ กำลังหาผลประโยชน์ จากกิจกรรมที่กำลังเป็นกระแสบน Tiktok ในชื่อ‘Invisible Challenge’ เพื่อติดตั้ง Malware กว่า 1000 บนอุปกรณ์ และขโมย รหัสผ่าน, บัญชี Discord และอาจรวมไปถึง Cryptocurrency กำลังเป็นกระแสใน TikTok ที่จะให้ถ่ายตัวเองไม่สวมเสื้อผ้าในขณะใช้ฟิลเตอร์ชื่อ ‘Invisible Body’ โดยจะทำการลบตัวจากวิดีโอด้วยพื้นหลังเบลอแทน ซึ่งกิจกรรมนี้ทำให้ผู้โพสต์วิดีโอถูกกล่าวหาว่าเปลือยแต่บดบังด้วย Filter ผู้ไม่ประสงค์ดีได้สร้างวิดิโอ TikTok เพื่อแสดงให้เห็นว่าพี่เขาใช้ฟิลเตอร์พิเศษ “unfiltering” เป็นการลบฟิลเตอร์บดบังทำให้เผยร่างกายเปลือย ของผู้ใช้ TikTok นั้น อย่างไรก็ตาม ซอฟต์แวร์นี้เป็นของปลอม และติดตั้ง “WASP Stealer (Discord Token Grabber)” Malware ที่สามารถขโมยบัญชี Discord, รหัสผ่าน และข้อมูลบัตรเครดิตที่มีการเก็บข้อมูลไว้บน Browser, ข้อมูล Cryptocurrency และแม้แต่ไฟล์ต่าง ๆ จากคอมพิวเตอร์ของเป้าหมาย ซึ่งวิดิโอเหล่านั้นได้รับยอดวิวมากกว่าล้านครั้งในเวลาอันสั้นหลังจากที่โพสต์ และหนึ่งใน Discord Server ของผู้ไม่ประสงค์ดี มีสมาชิกมากขึ้นเกินกว่า 30,000 รายแล้ว
เป้าหมายเป็น TokTok ที่เป็นดาวเด่น (ดาว Tiktok)
บริษัทรักษาความปลอดภัยทางไซเบอร์ Checkmarx โดยผู้เชี่ยวชาญด้านความปลอดภัยพบว่า มี 2 วิดิโอจาก Tiktok ถูกโพสต์โดยผู้ไม่ประสงค์ดีผู้ใช้ TikTok ชื่อ @learncyber และ @Kodibtc ได้ถูกระงับการใช้งาน เนื่องจากเป็นผู้สร้าง วิดิโอโปรโมทซอฟแวร์ลบฟิลเตอร์ “invisible body” มาเสนอบน Discord server ชื่อ “Space Unifilter” ผู้ไม่ประสงค์ดีได้มีการย้าย Discord server แต่ Checkmarx ได้ระบุว่า พวกเขามีสมาชิกประมาณ 32,000 ราย ในทันที เมื่อเหยื่อเข้าร่วม Discord server พวกเขาจะเห็นลิงก์ที่โพสต์โดยบอท ที่จะชี้ไปที่ GitHub ของ malware นี้
.png)
Discord server ที่ใช้ในการโจมตี
การโจมตีนี้ได้รับความสำเร็จจนที่เก็บ Malware ที่อันตรายนี้ ได้สถานะ “GitHub ที่กำลังมาแรง”และตั้งแต่ที่ได้เปลี่ยนชื่อมา ปัจจุบันได้มี 103 star และ 18 Fork (นำไปใช้แล้ว)
Host บน GitHub
ที่เก็บของตัวดาวน์โหลด Malware จาก GitHub ในไฟล์จะมี Windows batch (.bat) เมื่อทำการติดตั้งแพ็คเกจ Python ที่เป็นอันตราย (ตัวดาวน์โหลด WASP) และ ไฟล์ ReadMe ที่จะลิงก์ไปยังวิดีโอยูทูป ที่จะมีคำแนะนำในการติดตั้งตัว “unfilter” บนTikTok Checkmarx ได้คนพบว่า ผู้ไม่ประสงค์ดีใช้หลายแพ็คเกจ Python ที่อยู่บน PyPI รวมถึง “Tiktok-filter-api”, “pyshftuler”, “pyiopcs” และ “Pydesings” โดยจะมีการเพิ่มแพ็คเกจใหม่ทุกครั้งที่แพ็คเกจเก่าถูกรายงาน และถูกลบ นอกจากนี้ ผู้ไม่ประสงค์ดี ยังใช้เทคนิค “StarJacking” บน PyPI ของพวกเขากับชุดรหัส GidHub ที่เป็นที่นิยมไม่พวกเขาไม่มีส่วนเกี่ยวข้อง เพื่อทำให้ดูเหมือนชุดรหัสพวกเขาถูกต้อง
แพ็คเกจที่เป็นอันตรายบน PyPI
แพ็คเกจที่อันตรายจะคัดลอก code เดิม แต่จะมีการปรับเปลี่ยนสำหรับติดตั้ง WASP malware บนโฮสต์
“การโจมตีเหล่านี้แสดงให้เห็นอีกครั้งว่า ผู้โจมตีทางไซเบอร์ เริ่มให้ความสนใจใน ระบบของโอเพนซอร์สแพ็คเกจ เราเชื่อว่ามีแนวโน้ม ที่จะมีการขยายตัวมากขึ้นโดยเฉพาะในปี 2023” ในขณะที่เขียนสิ่งนี้ GitHub ที่ผู้ไม่ประสงค์ดีใช้ยังคงใช้งานได้ แต่แพ็คเกจ “TikTok unfilter” ได้มีการแทนที่ด้วยไฟล์ “Nitro generator” Discord server “Unfilter Spacr” ได้ถูกปิดออฟไลน์ โดยที่ผู้ไม่ประสงค์ดีได้อ้างว่าได้ย้ายไปยัง server อื่นแล้ว
ไม่มีความคิดเห็น:
แสดงความคิดเห็น