Se descubrió que los hackers explotan el popular desafío en TikTok (Desafío invisible) para propagar a los usuarios malware que roba contraseñas, cuentas de Discord y datos de billetera de criptomonedas.
La esencia del nuevo desafío es que el usuario necesita grabar el video desnudo, utilizando el filtro de TikTok «Invisible Body», que eliminará el cuerpo del video y lo reemplazará con un contorno borroso. Como resultado, las personas publican videos donde supuestamente están desnudos, pero ocultos por un filtro.
Los atacantes utilizan activamente la popularidad de este desafío y crean sus propios videos, donde afirman que tienen un software especial de desfiltro que puede eliminar los filtros de TikTok y mostrar los cuerpos desnudos de los tiktokers sin filtros. Los videos de los atacantes obtienen millones de visitas, y uno de sus servidores de Discord atrajo a más de 30,000 participantes.
Los expertos en seguridad de la información de Checkmarxadvierten que, de hecho, bajo la apariencia de un desfiltro, se está propagando el malware WASP, que es capaz de robar cuentas de Discord, contraseñas, datos de tarjetas bancarias almacenados en navegadores, información sobre billeteras de criptomonedas e incluso archivos de la computadora de la víctima.
Según el informe de los expertos, los usuarios de TikTok @learncyber y @kodibtc creado videos para promover software falso que «elimina el filtro Invisible Body», que supuestamente se distribuyó a través del servidor Space Unfilter Discord. Desde entonces, los atacantes ya han movido su servidor Discord, pero los investigadores afirman que en un momento dado tenían alrededor de 32,000 usuarios.
Una vez que las víctimas se conectaron a Discord, se les mostró un enlace alojado en bots que apuntaba a un repositorio de malware de GitHub. Además, el ataque fue tan exitoso que el repositorio malicioso recibió el estado de un «proyecto popular» en GitHub. Aunque desde entonces ha sido renombrado, actualmente tiene 103 estrellas y 18 tenedores.
Los archivos del proyecto contenían un archivo por lotes (.bat) de Windows que, cuando se ejecutaba, instalaba un paquete malicioso de Python (descargador WASP) en el sistema de la víctima y un archivo Léame que hacía referencia a un video de YouTube que pretendía contener instrucciones para instalar la herramienta de desfiltrado.
Los analistas descubrieron que para estos ataques, los atacantes utilizaron varios paquetes alojados en PyPI, incluidos tiktok-filter-api, pyshftuler, pyiopcs y pydesings, con nuevos agregados cada vez que los antiguos se eliminaban después de las quejas.
Además, se observa que los atacantes utilizan la técnica StarJacking en PyPI, vinculando su proyecto con un proyecto popular en GitHub (con el que no están realmente conectados) para «legitimar» sus actividades.
<
blockquote>»Este ataque parece estar en curso, y cada vez que el equipo de seguridad de Python elimina paquetes maliciosos, los atacantes improvisan y crean una nueva identidad o simplemente usan un nombre diferente», escriben los expertos. «Estos ataques demuestran una vez más que los atacantes han comenzado a centrarse en el ecosistema de paquetes de código abierto. Creemos que esta tendencia solo continuará ganando impulso en 2023».