Киберпреступники активизировали новую кампанию, в рамках которой используются adversary-in-the-middle (AitM) фишинговые страницы для перехвата сессий и кражи учетных данных от аккаунтов TikTok for Business. Параллельно зафиксирована отдельная волна атак с применением вредоносных SVG-вложений, связанных с malware, имеющим сходство с вымогательским ПО BianLian. Эти инциденты демонстрируют, как злоумышленники комбинируют социальную инженерию и технические уловки для обхода традиционных средств защиты.
Почему бизнес-аккаунты в TikTok становятся приоритетной целью
Бизнес-страницы в TikTok, как и в других соцсетях, представляют для атакующих ценный ресурс. Захваченный брендированный аккаунт можно использовать для малвертайзинга — размещения вредоносной рекламы, фишинговых ссылок и ссылок на загрузку malware под видом легального контента компании.
По данным Push Security, платформа TikTok уже не раз использовалась для распространения инфостилеров вроде Vidar, StealC и Aura Stealer. Часто применялась схема, напоминающая «ClickFix»: пользователю показывали сгенерированные ИИ видеоролики с «инструкциями по активации» Windows, Spotify или CapCut, где под видом необходимых файлов распространялось вредоносное ПО.
AitM-атака на TikTok for Business: как работает схема
Социальная инженерия и поддельные страницы TikTok и Google
Атака начинается с фишингового письма или сообщения, содержащего ссылку на вредоносный ресурс. Жертву перенаправляют либо на поддельную страницу, имитирующую интерфейс TikTok for Business, либо на сайт, маскирующийся под Google Careers с предложением «обсудить вакансию» и записаться на звонок.
Схема не нова: предыдущая итерация этой кампании уже отмечалась исследователями Sublime Security осенью 2025 года. Тогда злоумышленники рассылали письма, похожие на легитимные сообщения от отделов маркетинга и рекрутинга, что повышало вероятность перехода по ссылке.
Cloudflare Turnstile и AitM-фишинг для кражи сессий
Интересная деталь этой кампании — использование механизма Cloudflare Turnstile. Это безкапчевый аналог CAPTCHA, который позволяет отличать реальных пользователей от ботов. Злоумышленники внедряют Turnstile на свои фишинговые сайты, чтобы:
1) отсеять автоматические сканеры и системы анализа фишинговых страниц;
2) убедиться, что дальше будет обслуживаться только «живой» пользователь.
После успешной проверки жертве подсовывают AitM-страницу авторизации — промежуточный прокси между пользователем и реальным сервером TikTok. В результате злоумышленники получают:
• логин и пароль;
• токены сессии, позволяющие обойти двухфакторную аутентификацию (2FA) и войти в аккаунт как законный пользователь.
Фишинговые страницы размещаются на недавно зарегистрированных доменах, которые маскируются под связанные с рекламой, маркетингом или карьерными сайтами ресурсы. Это усложняет обнаружение по простым сигнатурам и черным спискам доменов.
Новая волна атак через SVG-вложения и связанный с BianLian malware
SVG-файлы как нетривиальный канал доставки вредоносного ПО
Параллельно специалисты WatchGuard зафиксировали отдельную фишинговую кампанию против пользователей в Венесуэле, где в качестве вложений используются SVG-файлы. Эти файлы подписаны на испанском языке и выдаются за счета, квитанции или коммерческие предложения (facturas, recibos, presupuestos).
При открытии файла SVG запускается обращение к удаленному URL, откуда загружается вредоносный артефакт. Для сокрытия конечного адреса злоумышленники используют сервис сокращения ссылок ja.cat и уязвимость на законных доменах, допускающую открытую переадресацию (open redirect) на любой URL. В итоге пользователь считает, что открывает ресурс доверенного сайта, но фактически попадает на сервер распространителя malware.
Malware на Go и сходство с BianLian
Загружаемый исполняемый файл написан на языке Go и, по данным WatchGuard, имеет ряд пересечений с образцом вымогательского ПО BianLian, описанным компанией SecurityScorecard в январе 2024 года. Речь может идти как о переиспользовании кода, так и о доработке существующего тулкита под новую кампанию.
Такие совпадения укладываются в общую тенденцию: разработчики ransomware и связанных инструментов постепенно переходят на Go из-за его кроссплатформенности, производительности и усложненного анализа бинарников по сравнению с классическим C/C++.
WatchGuard подчеркивает, что даже на первый взгляд безопасные форматы, такие как SVG, могут использоваться как стартовая точка сложной фишинговой цепочки, приводящей к установке вымогательского ПО или модулей удаленного управления.
С учетом роста атак на соцсети и почтовые каналы компаниям рекомендуется:
• включить защиту бизнес-аккаунтов в TikTok, Instagram, X и др. в общую стратегию кибербезопасности;
• применять аппаратные ключи FIDO2 или push-уведомления вместо одноразовых кодов по SMS;
• обучать сотрудников распознаванию фишинговых писем, предложений вакансий и рекламных коллабораций;
• фильтровать вложения, в том числе SVG, HTML, ISO, ZIP, с применением «песочниц» и контентной фильтрации;
• отслеживать аномальную активность в соцсетях: неожиданные рекламные кампании, смену контактных данных, публикацию подозрительных ссылок.
Пока злоумышленники комбинируют продвинутые техники вроде AitM-прокси, abuse-защищенных сервисов (Cloudflare, URL shorteners) и «нестандартных» форматов файлов, организациям важно выстраивать многоуровневую защиту. Регулярное обучение персонала, жесткая политика аутентификации и мониторинг учетных записей в соцсетях позволяют существенно снизить риск захвата бизнес-аккаунтов и заражения инфраструктуры вымогательским ПО.
