Los ciberdelincuentes han encontrado oro con una campaña de distribución de malware que aprovecha un desafío de TikTok y la promesa innovadora de ver a personas desnudas en Internet para causar estragos.
El desafío «Cuerpo invisible» involucra a los usuarios que graban sus cuerpos desnudos en un video y luego usan un filtro TikTok para eliminarlo del video y reemplazarlo con un fondo borroso. El malware en cuestión pretende eliminar el filtro.
Al igual que muchos desafíos de TikTok, este se hizo popular con bastante rapidez, con el hashtag #invisiblebody con más de 24 millones de visitas. De manera similar, el repositorio de GitHub utilizado para distribuir el malware subió a la cima de su lista de repositorios de tendencias.
Vídeos falsos
Sin embargo, los ciberdelincuentes se apresuraron a capitalizarlo, creando videos que promueven una forma de eliminar el filtro y ver el clip original sin editar.
En la descripción del video había un enlace a un servidor Discord donde los usuarios son dirigidos a un segundo enlace que conduce a GitHub. Allí, se les dice a los usuarios que pueden descargar el filtro «sin filtrar», que en realidad es el malware WASP Stealer (Discord Token Grabber).
Esta herramienta roba las cuentas de Discord, las contraseñas, la información de la tarjeta de crédito guardada en los navegadores, las billeteras de criptomonedas e incluso los archivos de las personas.
De acuerdo a BleepingEquipo (se abre en una pestaña nueva), solo dos videos que promocionan la herramienta falsa se vieron más de un millón de veces, y un servidor Discord ha acumulado más de 30,000 personas. Una simple búsqueda en Google de las palabras clave «Invisible Body TikTok» ahora muestra docenas de videos que promocionan herramientas de eliminación de filtros falsos.
WASP está alojado en GitHub, y poco después de que los videos llegaran a la web, alcanzó el estado de «proyecto de tendencia de GitHub».
Tanto GitHub como TikTok eliminaron rápidamente las cuentas que promocionaban el esquema de sus plataformas. Sin embargo, los actores de amenazas parecen haber regresado rápidamente, utilizando diferentes nombres de cuentas y proyectos.
Vía: BleepingComputer (se abre en una pestaña nueva)