Hackers gebruiken een populaire TikTok-uitdaging, bekend als "Invisible Body", om WASP-malware te verspreiden en gegevens te stelen.
TikTok-uitdaging wordt gebruikt om Infostealer-malware te verspreiden
Kwaadwillende actoren gebruiken de "Invisible Body" TikTok-uitdaging om WASP te verspreiden infostealer-malware.
De "Invisible Body"-uitdaging van TikTok omvat het gebruik van een filter om de lichaamskenmerken van een gebruiker te blokkeren en alleen zijn silhouet weer te geven. Het silhouet wordt vervolgens afgestemd op de achtergrond van de video, waardoor het bijna onzichtbaar lijkt. De #invisiblefilter-tag op TikTok heeft meer dan 25 miljoen views, waardoor de trend ongetwijfeld populair is.
Hoewel de 'Invisible Body'-trend zelf vrij onschadelijk is, wordt het nu door makers gebruikt om zichzelf ongekleed te filmen, waarbij het filter hun lichaam voor kijkers maskeert.
Aanvallers profiteren van de aantrekkingskracht van het "ontfilteren" van deze naaktvideo's om WASP-malware te verspreiden. De hacker plaatst een nepvideo waarin hij beweert het filter te hebben verwijderd met behulp van een softwareprogramma, waardoor het naakte lichaam van de maker in kwestie wordt blootgelegd. Dit is ontworpen om de interesse te wekken van bepaalde personen die de software zelf willen gebruiken om TikTok-video's ongedaan te maken.
Discord gebruikt om malware te verspreiden
De bovengenoemde uitnodigingslink leidt naar een Discord-server genaamd "Space Unfilter", waar gebruikers naar verluidt de filterverwijderende software kunnen downloaden. Wanneer iemand lid wordt van de server, ontvangt deze een bericht van een botaccount met een link die naar een GitHub-repository leidt. Deze repository host de WASP-malware, die is verborgen in een kwaadaardig Python-pakket.
In een Middelgrote blogpost, schreef Checkmarx-onderzoeker Guy Nachshon dat de aanvaller aanvankelijk een kwaadaardig pakket gebruikte dat bekend staat als "pyshftuler", maar daarna "heeft een nieuw kwaadaardig pakket geüpload onder een andere naam" nadat het eerste pakket was geïdentificeerd en verwijderd door PyPi (Python Package Inhoudsopgave). Het nieuwe pakket, "pyiopcs", werd echter ook gemeld en verwijderd.
Nadat hun pakket herhaaldelijk was verwijderd, besloot de aanvaller om "een kwaadaardig Python-pakket te gebruiken dat wordt vermeld in het bestand requirements.txt". Checkmarx houdt de pakketupdates bij die door deze aanvaller worden uitgevoerd. Elke keer dat het schadelijke pakket van de aanvaller wordt verwijderd, gebruiken ze gewoon een andere accountnaam om detectie effectiever te omzeilen.
Verschillende soorten gegevens gericht door WASP Infostealer
De WASP infostealer-malware richt zich op tal van soorten gegevens, waaronder creditcardgegevens, aanmeldingsgegevens en zelfs cryptocurrency-portefeuilles. De Discord-inloggegevens van een slachtoffer kunnen bijvoorbeeld worden gestolen of hun betalingsgegevens kunnen worden gebruikt om transacties onder hun naam uit te voeren.
In de eerder genoemde Medium-post verklaarde Nachshon dat "het niveau van manipulatie dat wordt gebruikt door aanvallers van de software-toeleveringsketen toeneemt naarmate aanvallers steeds slimmer worden". Het lijkt er dus op dat aanvallen op de toeleveringsketen van software een beveiligingsprobleem zullen blijven, aangezien methoden in de loop van de tijd steeds geavanceerder worden.
TikTok wordt herhaaldelijk gebruikt om malware te verspreiden
Dit is zeker niet de eerste keer dat TikTok wordt gebruikt om malware te verspreiden en oplichting uit te voeren. Deze app is ongelooflijk populair en richt zich ook op veel jongere mensen die niet goed thuis zijn in online veiligheid. Sociale-mediaplatforms worden vaak gebruikt om onwetende slachtoffers op te lichten, of het nu gaat om gegevens, geld of accountbeheer. Daarom is het belangrijk om online altijd op je hoede te zijn.
