Киберпреступники используют популярный TikTok-тренд «Invisible Challenge», чтобы обманом заставить пользователей загрузить вредоносное ПО, похищающее информацию, согласно новому исследованию Checkmarx.
Челлендж предполагает применение фильтра под названием «Invisible Body», который оставляет лишь силуэт тела человека.
Но тот факт, что люди, снимающие такие видео, могут быть раздеты, привел к появлению мошеннической схемы, в которой злоумышленники размещают в TikTok видео со ссылками на мошеннические программы, называемые «unfilter», которые якобы удаляют примененные фильтры.
«Инструкции по получению программного обеспечения «unfilter» развертывают вредоносное ПО WASP, скрывающееся внутри вредоносных пакетов Python» - сообщает исследователь Checkmarx Гай Начшон.
WASP (она же W4SP) - это вредоносная программа, предназначенная для кражи паролей пользователей, учетных записей Discord, криптовалютных кошельков и другой конфиденциальной информации.
Размещенные злоумышленниками @learncyber и @kodibtc 11 ноября 2022 года видеоролики по оценкам набрали более миллиона просмотров. Действие аккаунтов было приостановлено.
В видео включена ссылка на приглашение на управляемый атакующим сервер Discord, который насчитывал почти 32 000 участников до того, как о нем стало известно и он был удален. Жертвы, присоединившиеся к серверу Discord, впоследствии получают ссылку на репозиторий GitHub, в котором размещено вредоносное ПО.
После этого злоумышленники переименовали проект в «Nitro-generator», но не раньше, чем он попал в список репозиториев GitHub «Trending repositories» за 27 ноября 2022 года, призвав новых участников в Discord стать «звездой» проекта.
Помимо изменения названия репозитория, мошенники удалили старые файлы проекта и загрузили новые, один из которых даже описывал обновленный Python-код как «Its open source, its not a **VIRUS**». В настоящее время аккаунт на GitHub удален.
Утверждается, что код был встроен в различные пакеты Python, такие как tiktok-filter-api, pyshftuler, pyiopcs и pydesings, причем после удаления операторы быстро публиковали новые замены в Python Package Index (PyPI) под другими именами.
«Уровень манипуляций, используемых злоумышленниками в цепочках поставок программного обеспечения, растет по мере того, как злоумышленники становятся все более изощренными» - отметил Начшон. «Эти атаки еще раз демонстрируют, что киберзлоумышленники начали уделять внимание экосистеме пакетов с открытым исходным кодом».
Источник: https://is-systems.org