Кіберзлочинні групи розгорнули чергову хвилю цілеспрямованих атак, поєднуючи AitM-фішинг сторінок TikTok for Business з кампаніями розповсюдження malware через шкідливі SVG-вкладення, пов’язані з кодом, схожим на BianLian. Така комбінація соціальної інженерії та технічних прийомів дозволяє обходити класичні системи захисту, включно з двофакторною автентифікацією та базовими фільтрами електронної пошти.
Бізнес-акаунти TikTok як новий інструмент для малвертайзингу
Бізнес-профілі у TikTok, як і корпоративні сторінки в інших соцмережах, перетворюються на привабливу ціль через їхній високий рівень довіри аудиторії. Отримавши контроль над брендовим обліковим записом, зловмисники можуть запускати малвертайзинг — публікувати рекламу, фішингові посилання та файли зі шкідливим кодом під виглядом офіційного контенту компанії.
За спостереженнями Push Security, TikTok уже використовувався як канал розповсюдження інфостілерів, зокрема Vidar, StealC, Aura Stealer. Часто застосовується схема, подібна до «ClickFix»: користувачам показують згенеровані ШІ ролики з нібито «інструкціями з активації» Windows, Spotify чи CapCut, а замість корисних утиліт пропонують завантажити шкідливі виконувані файли.
Для бізнесу компрометація акаунта в TikTok означає не лише ризик втрати бюджету на рекламу, а й репутаційні збитки та можливі інциденти з витоком даних клієнтів, якщо через профіль просуваються фішингові опитування, форми чи підроблені сайти підтримки.
AitM-фішинг проти TikTok for Business: техніка перехоплення сесій
Соціальна інженерія та підроблені сервіси TikTok і Google
Кампанія проти TikTok for Business стартує зі спеціально підготовленого фішингового листа або повідомлення у месенджері. Жертві пропонують перейти за посиланням для «підтвердження рекламної кампанії», «перевірки акаунта» чи «обговорення вакансії в Google» через нібито офіційний сервіс Google Careers.
Користувача перенаправляють або на фальшиву сторінку TikTok for Business з ретельно відтвореним інтерфейсом, або на підроблений сайт «Google Careers» із пропозицією записатися на дзвінок. Подібна тактика вже фіксувалася дослідниками Sublime Security, які відзначали, що листи майстерно імітують реальні запити від маркетингових і рекрутингових відділів, що суттєво підвищує рівень довіри.
Cloudflare Turnstile як щит для фішингової інфраструктури
Ключова особливість цієї кампанії — використання Cloudflare Turnstile, безкапчевого аналога CAPTCHA. Зловмисники вбудовують його у свої фішингові сторінки, щоб:
• відсікти автоматизовані сканери безпеки та аналітичні боти, які аналізують фішингові ресурси;
• переконатися, що подальша взаємодія відбувається саме з живим користувачем, а не з системою моніторингу.
Після проходження Turnstile жертві показують AitM-сторінку автентифікації. Такий ресурс працює як проміжний проксі між браузером користувача та реальним сервером TikTok. У результаті атакувальник отримує не лише логін і пароль, а й сесійні токени, які дозволяють обійти 2FA та увійти до облікового запису як легітимний власник.
Фішингові сайти розміщуються на нещодавно зареєстрованих доменах, стилізованих під маркетингові платформи, рекламні агенції або кар’єрні портали. Це ускладнює виявлення за допомогою простих чорних списків і сигнатур, оскільки адреси виглядають правдоподібними та не мають «компрометованої історії» у репутаційних базах.
Фішинг через SVG-вкладення та шкідливе ПЗ, пов’язане з BianLian
Як SVG-файли стають стартовою точкою атаки
Паралельно фахівці WatchGuard зафіксували окрему фішингову кампанію у Венесуелі, де як вкладення в листах використовуються SVG-файли. Назви документів і текст повідомлень іспанською мовою імітують рахунки, квитанції та комерційні пропозиції (facturas, recibos, presupuestos).
Після відкриття SVG-бланка браузер обробляє вбудований код, який ініціює запит до віддаленого URL-адреси. Звідти завантажується шкідливий компонент. Для приховування кінцевого домену застосовується сервіс скорочення посилань ja.cat, а також уразливість open redirect на легітимних сайтах, що дозволяє переспрямовувати користувача на будь-який сторонній ресурс.
У такій конфігурації користувач бачить у листі нібито довірений домен, але фактично після ланцюжка переадресацій потрапляє на сервер розповсюдження malware. Для традиційних фільтрів безпеки це значно ускладнює аналіз, оскільки початкові посилання виглядають «безпечними».
Шкідливе ПЗ на Go та тренд на переозброєння ransomware
Завантажуваний виконуваний файл написаний мовою Go і, за даними WatchGuard, має суттєві технічні перетини з програмою-вимагачем BianLian, описаною SecurityScorecard на початку 2024 року. Ймовірно, йдеться про повторне використання фрагментів коду або модифікацію вже відомого інструментарію під нову кампанію.
Перехід авторів ransomware та супутнього інструментарію на Go — помітний ринковий тренд. Ця мова забезпечує кросплатформеність, високу продуктивність і складніший статичний аналіз у порівнянні з класичними C/C++. Це ускладнює роботу аналітиків malware і затримує створення надійних сигнатур в антивірусних рішеннях.
WatchGuard підкреслює, що навіть на перший погляд «безпечні» формати, такі як SVG-графіка, можуть стати початковою ланкою складного ланцюжка атаки, який завершується розгортанням програм-вимагачів або бекдорів для віддаленого керування інфраструктурою.
На тлі зростання атак через соцмережі та електронну пошту компаніям варто переглянути підхід до захисту. По-перше, бізнес-акаунти в TikTok, Instagram, X та інших платформах мають бути включені до єдиної стратегії кібербезпеки, з чіткими правилами доступу, аудитом прав і централізованим моніторингом.
По-друге, рекомендовано впроваджувати надійні механізми багатофакторної автентифікації — апаратні ключі FIDO2 або push-повідомлення, уникаючи одноразових кодів у SMS, які легше перехопити. Не менш важливе регулярне навчання співробітників розпізнаванню фішингових листів, фальшивих пропозицій співпраці й підозрілих «вакансій».
По-третє, варто застосовувати фільтрацію вкладень і веб-контенту із використанням «пісочниць» для аналізу файлів типу SVG, HTML, ISO, ZIP та інших нестандартних носіїв шкідливого коду, а також відстежувати аномальну активність у соцмережах: неочікувані рекламні кампанії, зміну контактних даних, появу підозрілих посилань.
Поки зловмисники комбінують AitM-проксі, захищені хостинг-платформи та нетипові формати файлів, єдиним надійним підходом залишається багаторівнева оборона. Чим раніше організації інвестують у зміцнення автентифікації, підвищення обізнаності персоналу та моніторинг своїх цифрових акаунтів, тим нижчими будуть ризики захоплення бізнес-ресурсів і подальшого шифрування критичної інфраструктури програмами-вимагачами.
