Ciberdelincuentes están usando un popular reto de TikTok para difundir malware
De vez en cuando, hay un nuevo reto de tendencias peligrosas en las redes sociales. Si recuerdas el “Tide Pods Challenge” o el “Milk Crate Challenge”, sabes exactamente de lo que estamos hablando.
Ahora bien, hackers están aprovechando un nuevo y viral reto de TikTok llamado ‘Invisible Challenge’ para instalar malware en miles de dispositivos y robar sus contraseñas, cuentas de Discord y, potencialmente, billeteras de criptomonedas.
El nuevo y muy popular reto de TikTok requiere que te filmes desnudo mientras usas el filtro “Cuerpo invisible” de TikTok. Este filtro elimina el cuerpo del video y lo reemplaza con un fondo borroso.
Este reto ha llevado a que las personas publiquen videos de ellos supuestamente desnudos pero opacados por el filtro.
El reto es bastante popular en TikTok y actualmente tiene más de 25 millones de visitas mediante la etiqueta #invisiblefilter .
Para sacar provecho de esto, los ciberdelincuentes están creando videos de TikTok que afirman ofrecer un filtro especial “sin filtro”. El supuesto filtro sirve para eliminar el efecto de enmascaramiento corporal de TikTok y exponer los cuerpos desnudos de los TikTokers.
Sin embargo, este software es falso e instala el malware “WASP Stealer (Discord Token Grabber)”. WASP Stealer es capaz de robar cuentas, contraseñas y tarjetas de crédito de Discord almacenadas en navegadores, billeteras de criptomonedas e incluso archivos de la computadora de la víctima.
Estos videos recibieron más de un millón de visitas poco después de su publicación, y uno de los servidores Discord de los atacantes acumuló más de 30,000 miembros.
Enfocándose en las tendencias de TikTok
En un nuevo informe de la firma de seguridad cibernética Checkmarx, los investigadores encontraron dos videos de TikTok publicados por los atacantes. Estos videos acumularon rápidamente más de un millón de visitas combinadas.
Los usuarios de TikTok ahora suspendidos @learncyber y @kodibtc crearon los videos para promocionar una aplicación de software para “eliminar el filtro del cuerpo invisible”. El software malicioso se ofrece en un servidor de Discord llamado “Space Unfilter”.
Desde entonces, los ciberdelincuentes han movido este servidor Discord, pero Checkmarx afirma que tenían aproximadamente 32,000 miembros en un momento dado.
Una vez que las víctimas se unen al servidor Discord, ven un enlace publicado por un bot que apunta a un repositorio de GitHub que aloja el malware.
Este ataque ha tenido tanto éxito que el repositorio malicioso ha alcanzado el estado de “proyecto tendencia de GitHub”. Y, aunque desde entonces ha cambiado de nombre, actualmente tiene 103 estrellas y 18 bifurcaciones.
Los archivos del proyecto contienen un archivo por lotes de Windows (.bat) que, cuando se ejecuta, instala un paquete Python malicioso (descargador de WASP). Asimismo, contiene un archivo Léeme que enlaza con un video de YouTube que contiene instrucciones sobre cómo instalar la herramienta de TikTok “unfilter”.
Paquetes maliciosos
Los analistas de Checkmarx descubrieron que los atacantes usaban varios paquetes de Python alojados en PyPI. Estos paquetes incluían “tiktok-filter-api”, “pyshftuler”, “pyiopcs” y “pydesings”, y se agregaban nuevos cada vez que se reportaban y eliminaban los paquetes antiguos.
Mirando el historial del proyecto, el atacante usó “pyshftuler”, un paquete malicioso, pero una vez que PyPi lo eliminó, el atacante cargó un nuevo paquete malicioso con un nombre diferente, “pyiopcs”. Este último paquete también se reportó y eliminó, y aún tenía que actualizar su código.
Además, los atacantes usan la técnica “StarJacking” en PyPI, vinculando su proyecto a un proyecto popular de GitHub con el que no tienen ninguna asociación para que parezca legítimo.
El paquete malicioso copia el código original pero contiene una modificación para instalar el malware WASP en el host.
Por si no lo sabes, StarJacking es una técnica para hacer que un paquete parezca más popular de lo que realmente es aprovechando la validación inexistente de la relación entre el paquete y el repositorio de GitHub.
Al momento de escribir este artículo, el repositorio de GitHub utilizado por los atacantes aún está activo, pero los paquetes “TikTok unfilter” han sido reemplazados por archivos “Nitro generator”.
El servidor Discord “Unfilter Space” se desconectó y los ciberdelincuentes afirmaron haberse mudado a otro servidor.
Ataque efectivo
¿Cómo es que un atacante ganó tanta popularidad en tan poco tiempo? Obtuvo su estatus como un proyecto de tendencia en GitHub al pedirle a cada miembro nuevo en su servidor que le diera “una estrella” a su proyecto.
La gran cantidad de usuarios tentados a unirse a este servidor de Discord y potencialmente instalar este malware es preocupante.
El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software aumenta a medida que los atacantes se vuelven cada vez más inteligentes.
“Parece que este ataque continúa, y cada vez que el equipo de seguridad de Python elimina sus paquetes, rápidamente improvisa y crea una nueva identidad o simplemente usa un nombre diferente.”
“Estos ataques demuestran nuevamente que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto; Creemos que esta tendencia aumentará mucho en 2023.”
Informe de Checkmarx
A medida que vemos más y más ataques diferentes, es fundamental acelerar el flujo de información sobre estos ataques entre todas las partes involucradas (registros de paquetes, investigadores de seguridad, desarrolladores) para proteger el ecosistema de código abierto contra esas amenazas.
“El formato corto y compartible de los videos de TikTok significa que el contenido puede volverse viral rápidamente, atrayendo a miles, sino millones, de usuarios en un corto período de tiempo. No es de extrañar entonces que los ciberdelincuentes estén dispuestos a aprovechar estas tendencias como vehículo para sus estafas”.
“Al ofrecer una herramienta potencial que podría ‘desfiltrar’ el efecto, los ciberdelincuentes aprovechan la curiosidad, el miedo e incluso el lado malicioso de las personas para descargarla. Por supuesto, para entonces, sabrán que las afirmaciones de los atacantes son falsas y que el malware está instalado”.
Jamie Akhtar, experto en seguridad