Hacker verwenden eine beliebte TikTok-Challenge, bekannt als „Invisible Body“, um WASP-Malware zu verbreiten und Daten zu stehlen.
TikTok Challenge wird zur Verbreitung von Infostealer-Malware verwendet
Böswillige Akteure nutzen die TikTok-Challenge „Invisible Body“, um WASP zu verbreiten Infostealer-Malware.
Die „Invisible Body“-Herausforderung von TikTok beinhaltet die Verwendung eines Filters, um die Körpermerkmale eines Benutzers auszublenden und nur seine Silhouette anzuzeigen. Die Silhouette wird dann an den Hintergrund des Videos angepasst, was fast den Eindruck von Unsichtbarkeit erweckt. Das #invisiblefilter-Tag auf TikTok hat über 25 Millionen Aufrufe, was den Trend zweifellos beliebt macht.
Während der „Invisible Body“-Trend selbst ziemlich harmlos ist, wird er jetzt von Schöpfern verwendet, um sich unbekleidet zu filmen, wobei der Filter ihre Körper vor den Zuschauern maskiert.
Angreifer nutzen den Reiz, diese Nacktvideos zu „unfiltern“, um WASP-Malware zu verbreiten. Der Hacker wird ein gefälschtes Video veröffentlichen, in dem behauptet wird, den Filter mit einem Softwareprogramm entfernt zu haben, wodurch der nackte Körper des betreffenden Erstellers freigelegt wird. Dies soll das Interesse bestimmter Personen wecken, die die Software selbst verwenden möchten, um TikTok-Videos zu entfiltern.
Discord zur Verbreitung von Malware
Der oben genannte Einladungslink führt zu a Discord-Server namens „Space Unfilter“, wo Benutzer angeblich die Filterentfernungssoftware herunterladen können. Wenn jemand dem Server beitritt, erhält er eine Nachricht von einem Bot-Konto, die einen Link enthält, der zu einem GitHub-Repository führt. Dieses Repository hostet die WASP-Malware, die in einem bösartigen Python-Paket versteckt ist.
In einem Mittelgroßer Blogbeitrag, schrieb Checkmarx-Forscher Guy Nachshon, dass der Angreifer zunächst ein Schadpaket namens „pyshftuler“ verwendet habe, dann aber „ein neues bösartiges Paket unter einem anderen Namen hochgeladen“, nachdem das ursprüngliche Paket von PyPi identifiziert und entfernt wurde (Python Package Index). Allerdings wurde auch das neue Paket "pyiopcs" gemeldet und entfernt.
Nachdem ihr Paket wiederholt entfernt wurde, entschied sich der Angreifer dann, „ein bösartiges Python-Paket zu verwenden, das in der Datei requirements.txt aufgeführt ist“. Checkmarx verfolgt die von diesem Angreifer durchgeführten Paketaktualisierungen. Jedes Mal, wenn das bösartige Paket des Angreifers entfernt wird, verwendet er einfach einen anderen Kontonamen, um der Erkennung effektiver zu entgehen.
Verschiedene Arten von Daten, auf die WASP Infostealer abzielt
Die WASP-Infostealer-Malware zielt auf zahlreiche Arten von Daten ab, darunter Kreditkartendaten, Anmeldeinformationen und sogar Kryptowährungs-Wallets. Beispielsweise könnten die Discord-Anmeldeinformationen eines Opfers gestohlen werden oder seine Zahlungsdaten können verwendet werden, um Transaktionen unter seinem Namen durchzuführen.
In dem zuvor erwähnten Medium-Beitrag erklärte Nachshon, dass „der Grad der Manipulation, der von Angreifern der Softwarelieferkette verwendet wird, zunimmt, da die Angreifer immer cleverer werden“. Es scheint also, dass Angriffe auf die Softwarelieferkette weiterhin ein Sicherheitsproblem darstellen werden, da die Methoden im Laufe der Zeit immer ausgefeilter werden.
TikTok wird wiederholt zur Verbreitung von Malware verwendet
Dies ist keineswegs das erste Mal, dass TikTok verwendet wird, um Malware zu verbreiten und Betrug durchzuführen. Diese App ist unglaublich beliebt und richtet sich auch an viele jüngere Personen, die sich mit Online-Sicherheit nicht auskennen. Social-Media-Plattformen werden oft genutzt, um unwissende Opfer zu betrügen, sei es um Daten, Geld oder Kontokontrolle. Deshalb ist es wichtig, online immer auf der Hut zu sein.