Οι παράγοντες των απειλών εκμεταλλεύονται μια νέα του TikTok που ονομάζεται «Invisible Challenge» για να μολύνουν τις συσκευές ανυποψίαστων χρηστών με κακόβουλο λογισμικό που μπορεί να κλέψει τις προσωπικές τους πληροφορίες.
Στην τάση, οι άνθρωποι κινηματογραφούνται γυμνοί ενώ χρησιμοποιούν ένα ειδικό εφέ βίντεο που ονομάζεται “Invisible Body”. Αυτό αφαιρεί το σώμα του ατόμου από το βίντεο, αφήνοντας μια θολή εικόνα περιγράμματος. Το hashtag της πρόκλησης #invisiblefilter έχει συγκεντρώσει πάνω από 25 εκατομμύρια προβολές.
Σύμφωνα με μια αναφορά της εταιρείας κυβερνοασφάλειας Checkmarx, οι χρήστες του TikTok @learncyber και @kodibtc αξιοποιούν αυτήν την τάση δημοσιεύοντας βίντεο που προωθούν μια εφαρμογή που μπορεί να αφαιρέσει τα φίλτρα TikTok και να εκθέσει τα γυμνά σώματα των ανθρώπων. Τα βίντεό τους περιλαμβάνουν έναν σύνδεσμο πρόσκλησης σε έναν συγκεκριμένο διακομιστή Discord που διέθετε το λογισμικό.
Μόλις ο χρήστης κάνει κλικ στη σύνδεση και εγγραφεί στον διακομιστή Discord, αποστέλλεται στη συνέχεια σε μια σελίδα που εμφανίζει γυμνά βίντεο ατόμων που φέρεται ότι είναι αποτέλεσμα της χρήσης του λογισμικού κατάργησης φιλτραρίσματος. Θα λάβουν επίσης ένα μήνυμα από έναν λογαριασμό bot που τους ζητά να ανοίξουν και να προσθέσουν σελιδοδείκτη σε ένα αποθετήριο GitHub.
Αυτό το αποθετήριο διαφημίζεται ως εργαλείο ανοιχτού κώδικα που μπορεί να αφαιρέσει το φίλτρο αόρατου σώματος στο TikTok. Έχει 103 αστέρια και 17 πιρούνια, και έχει γίνει ακόμη και ένα «trending project GitHub». Μέσα στο αποθετήριο, ωστόσο, υπάρχει ένα κακόβουλο πακέτο Python που αναπτύσσει το κακόβουλο λογισμικό WASP Stealer, το οποίο είναι ικανό να κλέψει λογαριασμούς Discord, πορτοφόλια κρυπτονομισμάτων, κωδικούς πρόσβασης και πιστωτικές κάρτες που είναι αποθηκευμένες σε προγράμματα περιήγησης, ακόμη και αρχεία θύματος.
Ο Checkmarx σημειώνει ότι η επίθεση είναι σε εξέλιξη και εάν αφαιρεθούν τα κακόβουλα πακέτα Python, ο εισβολέας απλώς δημιουργεί μια νέα ταυτότητα ή χρησιμοποιεί διαφορετικό όνομα.
Μέχρι τη στιγμή που γράφονται αυτές οι γραμμές, το αποθετήριο GitHub των εισβολέων είναι ακόμα ανοιχτό, αλλά τα πακέτα “TikTok unfilter” έχουν αντικατασταθεί από αρχεία “Nitro generator”. Ο διακομιστής Discord, από την άλλη πλευρά, έχει τεθεί εκτός σύνδεσης, αλλά ο ηθοποιός της απειλής ισχυρίζεται ότι έχουν μετακινηθεί σε νέο διακομιστή. Τα προαναφερθέντα ονόματα χρήστη TikTok δεν εμφανίζονται πλέον στα αποτελέσματα αναζήτησης.
«Αυτές οι επιθέσεις αποδεικνύουν ξανά ότι οι επιτιθέμενοι στον κυβερνοχώρο έχουν αρχίσει να εστιάζουν την προσοχή τους στο οικοσύστημα πακέτων ανοιχτού κώδικα· Πιστεύουμε ότι αυτή η τάση θα επιταχυνθεί μόνο το 2023», καταλήγει ο Checkmarx.
