Хакеры воспользовались популярным челленджем в TikTok под названием «Невидимый вызов», чтобы установить вредоносное ПО на тысячи устройств и украсть пароли, учётные записи Discord и, возможно, криптовалютные кошельки.

Новый модный челлендж в TikTok требует снять себя обнажённым, используя фильтр «Невидимое тело», который удаляет тело из видео и заменяет его размытым фоном.

Он привёл к тому, что люди стали публиковать видео, на которых они якобы раздеты, но их тело скрыто фильтром.

Чтобы нажиться на этом, хакеры создали видеоролики в соцсети, в которых рассказывали, что у них есть специальный фильтр для удаления эффекта маскировки, и он поможет увидеть обнажённые тела пользователей TikTok.

Однако это программное обеспечение, естественно, является фальшивкой и устанавливает вредоносную программу WASP Stealer (Discord Token Grabber), способную похищать учётные записи Discord, пароли и кредитные карты, хранящиеся в браузерах, криптовалютные кошельки и даже файлы с компьютера жертвы.

Вскоре после публикации видеоролики набрали более миллиона просмотров, а один из серверов Discord, принадлежащий хакерам, собрал более 30 000 участников.

После того как жертвы присоединяются к серверу Discord, они видят ссылку, размещённую ботом, указывающую на репозиторий GitHub, в котором находится вредоносная программа.

Атака была настолько успешной, что вредоносный репозиторий получил статус трендового проекта GitHub.

Файлы проектов содержали пакетный файл Windows (.bat), который при выполнении устанавливал вредоносный пакет Python (загрузчик WASP) и файл ReadMe, содержащий ссылку на видеоролик YouTube с инструкциями по установке инструмента TikTok unfilter.

«Эти атаки ещё раз демонстрируют, что киберпреступники начали фокусировать своё внимание на экосистеме пакетов с открытым исходным кодом; мы считаем, что эта тенденция только ускорится в 2023 году», – считают исследователи по безопасности.


Attacker Uses a Popular TikTok Challenge to Lure Users Into Installing Malicious Package
After a cat-mouse game, as the attacker’s packages have been caught, reported and removed by PyPi, the attacker decided to move his malicious infection line from the Python package to the requirements.txt as you can see in the blog.

Ещё по теме: