Злоумышленники используют фишинговые страницы типа adversary-in-the-middle (AitM) для захвата аккаунтов TikTok for Business. Кампанию зафиксировали исследователи безопасности, отметив рост атак на корпоративные рекламные аккаунты.
Ранее похожая активность уже наблюдалась в 2025 году, когда атакующие рассылали письма под видом деловых предложений и других рабочих коммуникаций, чтобы заставить пользователей перейти на поддельные страницы.
Обход защиты и маскировка
Фишинговая инфраструктура использует проверку Cloudflare Turnstile, чтобы скрыть вредоносный контент от автоматических систем анализа и ботов. После прохождения проверки пользователю показывается поддельная страница входа, имитирующая легитимный сервис.
Такие страницы работают по схеме AitM: они располагаются между пользователем и настоящим сайтом, перехватывая введенные учетные данные и сессионные токены в реальном времени. Это позволяет обходить даже многофакторную аутентификацию.
Цель атак
Основная задача кампании получить доступ к аккаунтам TikTok for Business, которые используются компаниями для управления рекламой и маркетинговыми активностями.
После компрометации злоумышленники могут использовать аккаунты для размещения мошеннической рекламы, распространения вредоносного ПО или других злоупотреблений, связанных с рекламной инфраструктурой платформы.
Дополнительные детали кампании
Атака также может затрагивать пользователей, входящих через сторонние сервисы, такие как Google, что расширяет потенциальную поверхность атаки.
Отмечается, что подобные фишинговые наборы быстро разворачиваются и позволяют атакующим масштабировать кампанию с минимальными затратами времени.
Источник: CyberNews