Des acteurs malveillants ont lancé une campagne de phishing visant les comptes TikTok for Business, rendant difficile l’analyse des pages malveillantes par les bots de sécurité.
Ces comptes pourraient être ciblés en raison de leur potentiel élevé d’utilisation abusive dans des campagnes de malvertising, de fraude publicitaire et de diffusion de contenu malveillant.
La société de détection et de réponse aux menaces en ligne, Push Security, établit un lien entre cette campagne et une opération similaire observée l’année précédente, qui avait pour but les comptes de Google Ad Manager.
Auparavant, TikTok avait été utilisé pour propager des malwares visant à steal des informations, ainsi que des arnaques liées aux cryptomonnaies via de fausses promotions. Les comptes TikTok for Business sont particulièrement prisés pour ces activités, en raison de leur grande portée et de leur crédibilité perçue.
Dans un rapport transmis à BleepingComputer, Push Security a indiqué que les victimes sont dirigées vers des pages de phishing hébergées par Cloudflare, enregistrées le 24 mars auprès de NiceNIC, un registrar souvent associé à des activités criminelles sur Internet.
Bien que Push Security n’ait pas pu déterminer le mécanisme initial de livraison, l’analyse suggère que les acteurs utilisent une méthode similaire à celle observée par Sublime Security.
Le lien initial redirige via une URL légitime de Google Storage, bloque les bots avec une vérification Cloudflare Turnstile, puis redirige vers les pages malveillantes. Les noms de domaines impliqués sont semblables et sont tous hébergés sur le même bucket de Google Storage :
- welcome.careerscrews[.]com
- welcome.careerstaffer[.]com
- welcome.careersworkflow[.]com
- welcome.careerstransform[.]com
- welcome.careersupskill[.]com
- welcome.careerssuccess[.]com
- welcome.careersstaffgrid[.]com
- welcome.careersprogress[.]com
- welcome.careersgrower[.]com
- welcome.careersengage[.]com
- welcome.careerscrews[.]com
Les pages malicieuses imitent celles de TikTok for Business et de Google Careers en demandant aux visiteurs d’entrer des informations de base pour prouver l’utilisation d’une adresse email professionnelle.
Source: Push Security
Par la suite, les victimes sont confrontées à une page de connexion trompeuse, conçue comme un proxy inverse pour capturer les identifiants et les cookies de session, qui sont ensuite exfiltrés vers l’attaquant.
Cette page joue le rôle d’intermédiaire entre l’utilisateur légitime et le service, permettant aux cybercriminels de détourner des comptes même lorsque la protection par authentification à deux facteurs (2FA) est active.
Source: Push Security
Push Security souligne également que les titulaires de comptes professionnels se connectent souvent à TikTok via le service Google single sign-on (SSO). Cela signifie que quiconque utilisant Google pour se connecter à son compte TikTok pourrait voir ses deux comptes compromis simultanément.
Les utilisateurs doivent faire preuve de prudence face aux invitations et offres d’emploi suspectes, et ne jamais se fier aux liens envoyés par des contacts inconnus. Il est conseillé de toujours vérifier le domaine avant de saisir ses identifiants, et d’utiliser des clés d’accès pour sécuriser les comptes importants.