Cibercriminoso usa desafio popular do TikTok para atrair usuários para instalação de pacote malicioso
Por Guy Nachshon e Tal Folkman, pesquisadores de segurança da Checkmarx.
- Cibercriminoso usa um desafio popular do TikTok para atrair os usuários para instalação de um pacote malicioso.
- Trata-se do desafio popular do TikTok chamado “Invisible Challenge”, em que a pessoa filma sua pose nua, enquanto usa um efeito de vídeo especial chamado “Invisible Body”. Este efeito remove o corpo do personagem do vídeo, fazendo dele uma imagem de contorno borrada.
- Os cibercriminosos postam vídeos do TikTok com links para um software falso chamado “unfilter”, que afirma ser capaz de remover os filtros do TikTok em vídeos gravados, enquanto o ator estava despido.
- As instruções para obter o software “unfilter” implantam o malware ladrão WASP, escondido dentro de pacotes Python maliciosos.
- Os vídeos do TikTok postados pelo cibercriminoso atingiram mais de um milhão de visualizações, em apenas alguns dias.
- O repositório do GitHub que hospeda o código do cibercriminoso listou os projetos de tendências diárias do GitHub.
- Mais de 30.000 membros ingressaram no servidor Discord criado pelos cibercriminosos até agora e esse número continua aumentando à medida que o ataque continua.
Desafio invisível do TikTok
De tempos em tempos, há um novo desafio de tendências perigosas nas mídias sociais. Se você se lembra do desafio de ingestão de cápsulas de detergente (Tide Pods Challenge) ou do desafio das caixas de leite (Milk Crate Challenge), sabe exatamente do que estou falando.
Desta vez, o desafio mais recente é chamado de desafio invisível (Invisible Challenge), em que a pessoa filma sua pose nua enquanto usa um efeito de vídeo especial chamado “corpo invisível”. Este efeito remove o corpo do personagem do vídeo, fazendo dele uma imagem de contorno borrada.
Esse desafio é bastante popular no TikTok e atualmente tem mais de 25 milhões de visualizações para a tag #invisiblefilter.
Software “Unfilter”
Os usuários do TikTok @learncyber e @kodibtc postaram vídeos no TikTok (mais de 1.000.000 visualizações combinadas), para promover um aplicativo de software capaz de “remover o corpo invisível do filtro” com um link de convite para ingressar em um servidor Discord “discord.gg/unfilter”, para obtê-lo.
Servidor Discord “Space Unfilter”
Depois de clicar no convite e ingressar no servidor Discord “Space Unfilter”, há vídeos NSFW carregados pelo cibercriminoso, supostamente o resultado de seu software “unfilter”. Uma tentativa de incluir vídeos de amostra como prova, para enganar os usuários a concordarem em instalar o seu software.
Ver mais: Por que a transparência é crucial em ataques com ransomwares?
Além disso, uma conta de bot, “Nadeko” envia automaticamente uma mensagem privada com uma solicitação para começar o repositório GitHub 420World69/Tiktok-Unfilter-Api
Tendência de repositório do GitHub
Este repositório GitHub 420World69/Tiktok-Unfilter-Api se impõe como uma ferramenta de código aberto, que pode remover o efeito de corpo invisível, tendência no TikTok e que atualmente possui 103 partidas e 17 bifurcações, por meio das quais ganhou o status de um projeto GitHub de tendência.
Dentro dos arquivos do projeto há um script .bat que instala um pacote Python malicioso listado no arquivo requirements.txt.
Olhando para o histórico do projeto, o cibercriminoso usou “pyshftuler”, um pacote malicioso, porém uma vez que foi relatado e removido pelo PyPi, o cibercriminoso carregou um novo pacote malicioso com um nome diferente, “pyiopcs”. Este último pacote também foi reportado e removido, e ele ainda não atualizou o seu código.
Além disso, o arquivo README do projeto contém um link para um tutorial do YouTube, que instrui os usuários sobre como executar o script de instalação.
Análise técnica – pacotes Python maliciosos
Esta campanha está vinculada com outros pacotes Python maliciosos, “tiktok-filter-api”, “pyshftuler” e “pyiopcs” e, como esse é um ataque contínuo, estamos acompanhando as novas atualizações.
À primeira vista, os cibercriminosos usaram a técnica StarJacking, pois o pacote malicioso afirmou falsamente que o repositório GitHub associado é “https://github.com/psf/requests”. No entanto, isso pertence às “solicitações” do pacote Python. Isso faz com que a embalagem pareça popular à primeira vista.
Além disso, os cibercriminosos roubaram e modificaram a descrição do pacote legítimo e o código dentro desses pacotes parece ter sido roubado das populares “solicitações” do pacote Python.
Olhando mais a fundo, encontramos em “./<package>/models.py”, uma modificação suspeita no arquivo original como uma linha direta relacionada ao código de infecção WASP.
Um movimento desesperado
Depois de um jogo de gato e rato, como os pacotes do invasor foram capturados, relatados e removidos pelo PyPi, o cibercriminoso decidiu mover a sua linha de infecção maliciosa do pacote Python para o requirements.txt, como você pode ver na captura de tela abaixo:
Conclusão
Como um cibercriminoso ganha tanta popularidade em tão pouco tempo? Ele ganhou o seu status como um projeto de tendência do GitHub, pedindo a cada novo membro em seu servidor para dar “estrelas” ao seu projeto.
O alto número de usuários tentados a entrar neste servidor Discord e, potencialmente, instalar este malware é preocupante.
O nível de manipulação usado pelos cibercriminosos da cadeia de suprimentos de software está aumentando, à medida que os invasores se tornam cada vez mais inteligentes.
Parece que esse ataque está em andamento e sempre que a equipe de segurança do Python exclui os seus pacotes, ele rapidamente improvisa e cria uma nova identidade ou simplesmente usa um nome diferente.
Esses ataques demonstram novamente que os cibercriminosos começaram a focar a sua atenção no ecossistema de pacotes de código aberto. Acreditamos que essa tendência só se acelere em 2023.
À medida que vemos cada vez mais ataques diferentes ao ecossistema, é fundamental acelerar o fluxo de informações sobre esses ataques entre todas as partes envolvidas (registros de pacotes, pesquisadores de segurança, desenvolvedores), para proteger o ecossistema de código aberto contra essas ameaças.
