Los actores de amenazas están aprovechando un popular desafío de TikTok para engañar a los usuarios para que descarguen malware que roba información, según una nueva investigación de Checkmarx.
La tendencia, denominada Invisible Challenge , consiste en aplicar un filtro conocido como Invisible Body que solo deja tras de sí una silueta del cuerpo de la persona.
Pero el hecho de que las personas que filman tales videos puedan desnudarse ha llevado a un esquema nefasto en el que los atacantes publican videos de TikTok con enlaces a un software malicioso denominado «unfilter» que pretende eliminar los filtros aplicados.
«Las instrucciones para hacer que el software ‘desfiltrador’ implemente el malware ladrón WASP escondido dentro de paquetes maliciosos de Python», dijo el investigador de Checkmarx, Guy Nachshon , en un análisis el lunes.
El ladrón WASP (también conocido como W4SP Stealer) es un malware que está diseñado para robar las contraseñas de los usuarios, las cuentas de Discord, las billeteras de criptomonedas y otra información confidencial.
Se estima que los videos de TikTok publicados por los atacantes, @learncyber y @kodibtc, el 11 de noviembre de 2022, alcanzaron más de un millón de visitas. Las cuentas han sido suspendidas.
En el video también se incluye un enlace de invitación a un servidor de Discord administrado por el adversario, que tenía casi 32,000 miembros antes de que se informara y eliminara. Las víctimas que se unen al servidor de Discord reciben posteriormente un enlace a un repositorio de GitHub que aloja el malware.
Desde entonces, el atacante cambió el nombre del proyecto a «Nitro-generator», pero no antes de que aterrizara en la lista de repositorios de tendencias de GitHub para el 27 de noviembre de 2022, al instar a los nuevos miembros en Discord a protagonizar el proyecto.
Además de cambiar el nombre del repositorio, el actor de amenazas eliminó archivos antiguos del proyecto y cargó otros nuevos, uno de los cuales incluso describió el código Python actualizado como «Es de código abierto, no es un VIRUS«. La cuenta de GitHub ahora ha sido extraída.
Se dice que el código del ladrón se incrustó en varios paquetes de Python, como «tiktok-filter-api», «pyshftuler», «pyiopcs» y «pydesings», y los operadores publicaron rápidamente nuevos reemplazos en el Índice de paquetes de Python (PyPI ) con diferentes nombres al ser eliminado.
«El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software está aumentando a medida que los atacantes se vuelven cada vez más inteligentes», señaló Nachshon. «Estos ataques demuestran una vez más que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto».
Fuente y redacción: thehhackernews.com
