Cyberkriminelle zielen verstärkt auf TikTok-Business-Accounts und kombinieren dabei Adversary-in-the-Middle (AitM)-Phishing mit dem Missbrauch legitimer Sicherheitsdienste sowie einer separaten Kampagne mit schädlichen SVG-Anhängen, deren Malware-Code Ähnlichkeiten zu der Ransomware-Familie BianLian aufweist. Die Angriffe zeigen deutlich, wie geschickt Angreifer Social Engineering, Infrastruktur großer Provider und unauffällige Dateiformate nutzen, um traditionelle Schutzmechanismen zu umgehen.
Warum TikTok-Business-Accounts ein attraktives Angriffsziel sind
Unternehmensauftritte auf TikTok, Instagram oder X haben einen hohen Marketingwert – genau dieser Wert macht sie zur lohnenden Beute. Ein kompromittierter TikTok-Business-Account ermöglicht Malvertising: Angreifer können scheinbar legitime Werbeanzeigen, Kurzvideos oder Links platzieren, die zu Phishing-Seiten oder Malware-Downloads führen, ohne dass Follower den Kontrollverlust des Kanals sofort bemerken.
Bereits mehrere Untersuchungen, unter anderem von Push Security, belegen, dass TikTok als Plattform zur Verbreitung von Infostealern wie Vidar, StealC oder Aura Stealer missbraucht wurde. Typisch ist dabei eine „ClickFix“-ähnliche Masche: In KI-generierten Videos erhalten Nutzer vermeintliche Anleitungen zur „Aktivierung“ von Windows, Spotify oder CapCut. Die verlinkten Dateien enthalten jedoch Schadsoftware, die Zugangsdaten, Browser-Cookies oder Krypto-Wallets stiehlt.
Adversary-in-the-Middle-Phishing gegen TikTok for Business
Social Engineering über gefälschte TikTok- und Google-Careers-Seiten
Die aktuelle Kampagne startet mit phishing-E-Mails oder Direktnachrichten, die einen Link auf eine täuschend echte Login- oder Landing-Page enthalten. Je nach Variante landet das Opfer auf einer gefälschten TikTok-for-Business-Seite oder auf einer Fake-Seite, die sich als Google Careers ausgibt und ein Gespräch zu einer vermeintlichen Stellenanzeige anbietet. Die Nachrichten imitieren Kommunikationsstile von Marketing- oder Recruiting-Abteilungen, um Vertrauen aufzubauen und Klicks zu erzeugen.
Bereits frühere Analysen von Sicherheitsanbietern wie Sublime Security beschrieben ähnliche Wellen, bei denen legitime Unternehmenskommunikation detailgetreu nachgeahmt wurde. Solche Kampagnen nutzen ein Grundproblem aus: Laut Branchenreports wie dem Verizon Data Breach Investigations Report gehören Social Engineering und gestohlene Zugangsdaten seit Jahren zu den wichtigsten Initialvektoren erfolgreicher Angriffe.
Cloudflare Turnstile und AitM-Proxys zur Umgehung von 2FA
Eine Besonderheit der beobachteten TikTok-Angriffe ist der Missbrauch von Cloudflare Turnstile – einem CAPTCHA-Ersatz, der echte Nutzer von Bots unterscheiden soll. Angreifer binden Turnstile auf ihren Phishing-Seiten ein, um automatisierte Scanner, Crawler und einige E-Mail-Security-Lösungen auszufiltern. Nur wer die Turnstile-Prüfung besteht, wird auf die eigentliche AitM-Anmeldeseite weitergeleitet.
Diese AitM-Seite fungiert als Reverse-Proxy zwischen Opfer und echtem TikTok-Server. Während der Nutzer glaubt, sich direkt bei TikTok for Business anzumelden, leitet der Proxy alle Eingaben in Echtzeit weiter und zeichnet sie auf. So erlangen die Angreifer nicht nur Benutzername und Passwort, sondern auch Sitzungstokens, mit denen sie Zwei-Faktor-Authentifizierung (2FA) umgehen und sich wie der legitime Kontoinhaber einloggen können. Die Phishing-Seiten liegen häufig auf frisch registrierten Domains mit Marketing- oder Karrierebezug, was statische Domain-Blacklists deutlich erschwert.
SVG-Phishing und Go-Malware mit Bezügen zu BianLian
Schadhafte SVG-Anhänge als unterschätzter Angriffsvektor
Parallel meldet WatchGuard eine eigenständige phishing-Kampagne gegen Nutzer in Venezuela, bei der SVG-Dateien als E-Mail-Anhänge genutzt werden. Die Dateinamen sind auf Spanisch gehalten und suggerieren Rechnungen, Belege oder Angebote (etwa factura, recibo, presupuesto). SVG ist eigentlich ein Bildformat, basiert aber auf XML-Code und kann Skripte oder externe Referenzen einbetten – ein oft unterschätztes Risiko.
Beim Öffnen der SVG-Datei kontaktiert der Code eine entfernte URL und lädt einen schädlichen Payload nach. Um die Zieladresse zu verschleiern, nutzen die Angreifer den URL-Verkürzungsdienst ja.cat sowie Open-Redirect-Schwachstellen auf legitimen Domains. Für das Opfer wirkt der Link wie ein Aufruf eines vertrauenswürdigen Anbieters, tatsächlich erfolgt jedoch eine Weiterleitung auf den Server der Angreifer, wo die Malware ausgeliefert wird.
Go-basierte Malware und Überschneidungen zur BianLian-Ransomware
Die nachgeladene ausführbare Datei ist in Go geschrieben und weist laut WatchGuard deutliche Überschneidungen mit einer BianLian-Ransomware-Variante auf, die von SecurityScorecard Anfang 2024 dokumentiert wurde. Ob es sich um eine Weiterentwicklung des ursprünglichen Toolkits oder um Code-Reuse durch eine andere Gruppe handelt, ist offen – technisch passt der Fund jedoch in einen klaren Trend.
Immer mehr Ransomware- und Crimeware-Projekte migrieren auf Go, weil die Sprache plattformübergreifende Builds (Windows, Linux, macOS) ermöglicht, statische Binaries erzeugt und klassische Analyse-Tools für C/C++ vor zusätzliche Hürden stellt. In Kombination mit initialen Phishing-Vektoren wie SVG-Anhängen entstehen mehrstufige Angriffsketten, die von reiner Spionage bis hin zu Double-Extortion-Ransomware reichen können.
Empfohlene Gegenmaßnahmen für Unternehmen
Unternehmen sollten Social-Media-Sicherheit explizit in ihre Cybersecurity-Strategie integrieren. Dazu gehören starke Richtlinien für TikTok, Instagram, X und andere Plattformen, ein zentrales Identitätsmanagement sowie eine klare Rollen- und Rechtevergabe für Marketing-Teams und Agenturen.
Für alle Business-Accounts und Admin-Zugänge ist phishing-resistente Multi-Faktor-Authentifizierung entscheidend. Sicherheitsschlüssel nach FIDO2/WebAuthn oder App-basierte Push-Verfahren sind gegenüber einmaligen SMS-Codes deutlich robuster, insbesondere gegen AitM-Angriffe, da die kryptografische Bindung an die echte Domain eine Weiterleitung über Proxy-Seiten erschwert.
Ebenso wichtig ist kontinuierliche Awareness-Schulung: Mitarbeitende in Marketing, Vertrieb und HR sollten lernen, gefälschte Jobangebote, Kooperationsanfragen und Kampagnen-Briefings zu erkennen. E-Mail-Gateways und Secure-Email-Gateways sollten auch „ungewöhnliche“ Formate wie SVG, HTML, ISO oder ZIP mit Content-Filterung und Sandboxes prüfen und verdächtige Links – insbesondere URL-Shortener – automatisch entschärfen.
Schließlich ist ein proaktives Monitoring der eigenen Social-Media-Accounts entscheidend: Unerwartete Werbekampagnen, geänderte Kontaktinformationen, neue Verknüpfungen zu Werbekonten oder das Auftauchen unbekannter Links können frühe Indikatoren für eine Kompromittierung sein. Sicherheitsverantwortliche sollten klare Playbooks für die schnelle Sperrung, Wiederherstellung und forensische Analyse kompromittierter Kanäle definieren.
Die aktuelle Angriffswelle macht deutlich, dass moderne Cyberangriffe selten auf einen einzigen Trick setzen. Die Kombination aus AitM-Proxys, dem Missbrauch vertrauenswürdiger Dienste wie Cloudflare und Link-Shortenern sowie der Nutzung scheinbar harmloser Dateiformate wie SVG erfordert eine mehrschichtige Verteidigungsstrategie. Unternehmen, die in starke Authentifizierung, technische E-Mail-Sicherheit, kontinuierliche Schulungen und ein wachsames Monitoring ihrer Social-Media-Präsenz investieren, können das Risiko von Kontenübernahmen und Ransomware-Infektionen spürbar reduzieren und ihre digitale Markenpräsenz nachhaltig schützen.
