HackerNews 编译,转载请注明出处:
网络安全公司CTM360发现代号“ClickTok”的新型全球恶意软件活动,通过仿冒TikTok店铺传播SparkKitty间谍软件窃取加密货币资金。该间谍木马专门针对TikTok Shop全球用户设计,采用结合钓鱼与恶意软件的混合诈骗模式,欺骗平台买家及联盟计划参与者。ClickTok活动中发现的SparkKitty间谍软件与卡巴斯基此前披露的SparkCat变种高度相似,安装后渗透用户设备、访问相册并提取含加密货币钱包凭证的截图。其独特之处在于同时运用钓鱼与恶意软件技术,大幅提升攻击效果与隐蔽性。
诈骗始于仿冒TikTok商业生态(含TikTok Shop、TikTok Wholesale、TikTok Mall)。攻击者创建界面高度仿真的虚假网站诱导用户登录购物。结算环节强制要求加密货币支付,用户完成付款后,内置SparkKitty的木马化应用开始窃取设备敏感数据(包括通过读取截图获取钱包凭证),最终盗取数字资产。CTM360已完成ClickTok诈骗深度分析并发布完整报告。
攻击者核心目标分为两方面:
钓鱼网站:通过Meta广告分发虚假店铺链接,诱导用户输入登录凭证、支付信息及卖家资料并静默窃取。
木马化应用:移动端诱导用户安装携带SparkKitty的篡改版TikTok应用,该间谍软件具备深度设备监控、剪贴板窃取及凭证盗用能力。这些伪造应用界面与正版完全一致,使用户误认操作合法应用的同时在后台窃取数据。
诈骗团伙利用AI生成虚假视频及Meta广告扩大传播范围,将用户导向精心伪造的域名(形似真实TikTok网址)。截至目前CTM360已发现:超10,000个仿冒TikTok网站(多采用.top/.shop/.icu等廉价顶级域);超5,000个恶意应用实例(通过二维码/通讯应用/应用内下载传播);诈骗活动不仅仿冒TikTok Shop,还涉及TikTok Wholesale与TikTok Mall。
ClickTok活动通过伪造TikTok Shop登录页面窃取用户凭证,并通过木马化应用实施账户劫持。其采用替代支付架构排除传统银行卡交易,强制要求加密货币钱包付款。受害者常被诱导向伪造的TikTok钱包或泰达币(USDT)、以太币(ETH)等加密货币充值。
CTM360建议用户与机构保持警惕并采取以下防护措施:
- 避免下载来源不明的修改版/破解版软件(尤其警惕种子站与Telegram渠道)输入登录或支付信息前务必手动核对域名真实性,检查拼写错误及可疑后缀向TikTok或本国网络安全部门举报可疑内容品牌方应借助威胁情报平台持续监测品牌滥用与仿冒趋势部署强效杀毒或终端防护(EDR)方案预防SparkKitty入侵加密货币用户应选用具备剪贴板保护机制的钱包
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
