Les cybercriminels ont décroché de l’or avec une campagne de distribution de logiciels malveillants s’appuyant sur un défi TikTok et la promesse révolutionnaire de voir des gens nus sur Internet pour semer le chaos.
Le défi « Invisible Body » implique que les utilisateurs enregistrent leur corps nu sur vidéo, puis utilisent un filtre TikTok pour le supprimer de la vidéo et le remplacer par un arrière-plan flou. Le logiciel malveillant en question prétend supprimer le filtre.
Comme de nombreux défis TikTok, celui-ci est devenu populaire assez rapidement, avec le hashtag #invisiblebody ayant plus de 24 millions de vues. De même, le référentiel GitHub utilisé pour distribuer le logiciel malveillant s’est hissé en tête de sa liste de référentiels de tendances.
Fausses vidéos
Cependant, les cybercriminels n’ont pas tardé à en tirer parti, créant des vidéos qui promeuvent un moyen de supprimer le filtre et de visualiser le clip original non édité.
Dans la description de la vidéo se trouvait un lien vers un serveur Discord où les utilisateurs sont dirigés vers un deuxième lien, menant à GitHub. Là, les utilisateurs sont informés qu’ils peuvent télécharger le filtre « non filtré » qui est en fait le malware WASP Stealer (Discord Token Grabber).
Cet outil vole les comptes Discord, les mots de passe, les informations de carte de crédit enregistrées dans les navigateurs, les portefeuilles de crypto-monnaie et même les fichiers des personnes.
Selon BipOrdinateur (s’ouvre dans un nouvel onglet), seules deux vidéos faisant la promotion du faux outil ont été visionnées plus d’un million de fois, et un serveur Discord a rassemblé plus de 30 000 personnes. Une simple recherche sur Google pour les mots clés « Invisible Body TikTok » propose désormais des dizaines de vidéos faisant la promotion de faux outils de suppression de filtres.
WASP est hébergé sur GitHub, et peu de temps après que les vidéos soient arrivées sur le Web, il a atteint le statut de « projet GitHub tendance ».
GitHub et TikTok n’ont pas tardé à supprimer les comptes faisant la promotion du programme de leurs plateformes. Cependant, les acteurs de la menace semblent avoir fait un retour rapide, en utilisant différents noms de comptes et de projets.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)