Les cybercriminels ont récemment mis en place un nouveau type de pages de phishing visant les comptes TikTok for Business, en utilisant des contenus thématiques sur TikTok ou Google.
Selon Push Security, une nouvelle vague de pages de phishing de type Adversary-in-the-Middle (AiTM) a été enregistrée le 24 mars, toute dans un délai de neuf secondes.
Ces pages étaient hébergées derrière Cloudflare et regroupées sous un même registraire, Nicenic International Group, souvent utilisé à des fins d’enregistrement massif de domaines de phishing.
Elles partagent une convention de nommage similaire, prenant des dérivations de welcome.careers*[.]com. Les chercheurs de Push Security s’attendent à ce que la liste des domaines malveillants de ce type augmente à mesure que la campagne progresse.
Le mécanisme de livraison initial n’a pas encore été confirmé, mais Push Security pense qu’il est probablement similaire à une campagne précédemment identifiée par Sublime en octobre, qui utilisait des courriels générés dynamiquement et présentait une page Google Careers clonée.
Lorsqu’on clique sur le lien, il redirige d’abord les utilisateurs vers un site légitime de Google Cloud Storage avant de charger la page malveillante.
Le site utilise un contrôle Cloudflare Turnstile pour empêcher les bots de sécurité d’analyser la page.
Les victimes se voient présenter un contenu thématique sur TikTok ou Google. Au fur et à mesure qu’elles avancent dans le processus, elles finissent par être dirigées vers une page de phishing AiTM.
Dans ce cas, la victime doit remplir un formulaire de base avant d’accéder à une page de connexion malveillante qui cache en réalité un kit de phishing AiTM via un proxy inversé.
Pourquoi les cybercriminels ciblent TikTok
Les comptes TikTok for Business sont souvent utilisés par les équipes marketing des entreprises pour gérer leurs campagnes publicitaires.
Push Security souligne que le choix de TikTok est “notable”, car la plupart des pages de phishing que les chercheurs interceptent ont tendance à imiter des plates-formes SSO comme Google et Microsoft.
“TikTok semble être un choix étrange à première vue. Cependant, cela a plus de sens lorsqu’on considère que TikTok a été historiquement utilisé pour distribuer des liens malveillants et des instructions de manipulation sociale”, a noté Push Security dans un article de blog publié le 26 mars.
La plateforme a été employée pour livrer des infostealers via des instructions du type ClickFix avec des vidéos générées par IA se faisant passer pour des guides d’activation pour Windows, Spotify et CapCut.
Ce réseau social est également un “terrain de chasse” courant pour les escroqueries liées aux cryptomonnaies.
Il a été souligné que la majorité des utilisateurs choisissent souvent de “se connecter avec Google”, ce qui signifie que quiconque se connectant à son compte TikTok via Google risque de compromettre simultanément les deux comptes utilisés pour diffuser des annonces. Cela pourrait donner lieu à une chaîne d’exploitation de Google Ad Manager par des cybercriminels ciblant ces comptes pour alimenter des escroqueries de malvertising.
Points à retenir
- Nouveau phishing ciblant TikTok for Business identifié par Push Security.
- Pages hébergées derrière Cloudflare et enregistrées via un registraire largement abusé.
- Mécanisme de livraison probablement similaire à des campagnes précédentes.
- Utilisation de contenu thématique pour tromper les victimes.
- Risques accrus pour les comptes Google liés à TikTok.
Un point de vue intéressant à explorer serait de se demander pourquoi TikTok est choisi comme cible par rapport à d’autres plateformes. N’est-ce pas révélateur d’une évolution dans les méthodes des cybercriminels ? La manière dont une plateforme populaire est exploitée peut-elle influencer notre perception de la sécurité en ligne ? Ces questions méritent réflexion à l’heure où la technologie continue de redéfinir nos interactions numériques.