كشف باحثون في مجال الأمن السيبراني عن حملة خبيثة واسعة النطاق تستهدف مستخدمي منصة TikTok Shop حول العالم، بهدف سرقة بيانات الدخول وتوزيع تطبيقات مُلغّمة.
ووفقًا لشركة CTM360 البحرينية، فإن الجهات المهاجمة تستغل منصة التجارة الإلكترونية الرسمية داخل تطبيق TikTok من خلال استراتيجية مزدوجة تجمع بين التصيّد الاحتيالي وتوزيع البرمجيات الضارة. وتعتمد الحيلة الأساسية على مواقع مقلّدة لواجهة TikTok Shop تُوهم المستخدمين بأنهم يتعاملون مع منصة رسمية أو شريك موثوق.
إعلانات زائفة وفيديوهات مولّدة بالذكاء الاصطناعي
أطلقت CTM360 على الحملة اسم FraudOnTok، مشيرة إلى اعتماد المهاجمين على أسلوب توزيع متعدد الجوانب يشمل إعلانات ممولة على منصات ميتا، إلى جانب فيديوهات مزيفة أنشأها الذكاء الاصطناعي تُحاكي المؤثرين وسفراء العلامات التجارية الرسمية.
في قلب هذه الحملة، تُستخدم نطاقات شبيهة بعناوين TikTok الأصلية لخداع المستخدمين، وقد تم حتى الآن رصد أكثر من 15,000 موقع مقلد، معظمها يستند إلى نطاقات من المستوى الأعلى مثل: .top و.shop و.icu.
سرقة بيانات وتوزيع تطبيقات خبيثة متعددة المنصات
تستضيف هذه النطاقات صفحات تصيّد تهدف إما إلى سرقة بيانات المستخدمين أو إلى توزيع تطبيقات زائفة تحتوي على نسخة معدلة من برمجية SparkKitty، وهي برمجية خبيثة متعددة المنصات قادرة على جمع البيانات من أجهزة Android وiOS.
وتشير CTM360 إلى أن أكثر من 5,000 رابط تم رصده يستخدم واجهة متجر TikTok Shop المزيفة كوسيلة لإقناع المستخدمين بتنزيل التطبيقات الخبيثة.
خداع المستخدمين ودفعهم نحو معاملات مالية وهمية
تستغل بعض صفحات التصيّد هذه أسماء منتجات مزيفة وعروضًا مغرية لجذب الضحايا إلى إجراء تحويلات بالعملات الرقمية على متاجر وهمية. وتوضح CTM360 أن الإعلانات الزائفة تنتشر على نطاق واسع في منصتي فيسبوك وتيك توك، حيث تُستخدم فيديوهات مولدة بالذكاء الاصطناعي لتقليد الحملات الترويجية الحقيقية واستدراج المستخدمين.
أهداف متعددة، والنتيجة واحدة: الربح المالي غير المشروع
تركز الحملة الاحتيالية على ثلاثة أهداف رئيسية:
-
خداع المشترين والبائعين المشاركين في برنامج التسويق بالعمولة (Affiliates) عبر منتجات وهمية وعروض مغرية تُطلب مقابلها مدفوعات بالعملات الرقمية
-
إقناع المشاركين في البرنامج بتعبئة محافظ إلكترونية مزيفة بعملات مشفّرة، بدعوى الحصول على عمولات مستقبلية أو مكافآت وهمية
-
سرقة بيانات الدخول عبر صفحات تسجيل دخول مزيفة أو تحميل تطبيقات TikTok ملوثة
خداع متقدم واستغلال للمصادقة عبر Google
بمجرد تثبيت التطبيق الخبيث، يُطلب من الضحية تسجيل الدخول باستخدام بريده الإلكتروني، ثم يفشل الدخول عمدًا ليتم توجيهه إلى خيار بديل عبر حساب Google، مما يُمكّن المهاجمين من استغلال رموز الجلسة (OAuth Tokens) للوصول غير المصرح به دون الحاجة إلى تأكيد البريد الإلكتروني.
استخدام تقنيات التعرف البصري لاختراق المحافظ الرقمية
يحتوي التطبيق الضار أيضًا على برمجية SparkKitty، القادرة على تحليل الصور في معرض المستخدم باستخدام تقنيات التعرف البصري (OCR) بحثًا عن عبارات الاستعادة (Seed Phrases) الخاصة بمحافظ العملات الرقمية، ثم إرسالها إلى خوادم يتحكم بها المهاجمون.
حملات تصيّد متزامنة تستهدف المؤسسات
تزامن هذا الكشف مع إعلان CTM360 عن حملة تصيّد أخرى تحت اسم CyberHeist Phish، تستغل إعلانات Google وآلاف الروابط المزيفة لخداع المستخدمين الذين يبحثون عن مواقع المصرفية الإلكترونية الخاصة بالشركات. تُستخدم صفحات مزيفة تحاكي واجهات الدخول المصرفية لسرقة بيانات اعتماد المستخدمين، مع تفاعل مباشر من المهاجمين لسرقة رموز التحقق الثنائي خلال كل مرحلة من عمليات الدخول وإنشاء المستفيدين وتحويل الأموال.
استهداف لحسابات Meta Business Suite أيضًا
في الأشهر الأخيرة، استهدفت حملات تصيّد أخرى مستخدمي منصة Meta Business Suite تحت مسمى Meta Mirage، من خلال رسائل تنبيه وهمية حول انتهاكات سياسات، أو تقييد الحسابات الإعلانية، أو طلبات تحقق زائفة، يتم إرسالها عبر البريد الإلكتروني أو الرسائل المباشرة، وتؤدي إلى صفحات مصممة لسرقة بيانات الدخول وملفات تعريف الارتباط، مستضافة على منصات مثل Vercel وGitHub Pages وNetlify وFirebase.
تنبيه حكومي من وزارة الخزانة الأمريكية
تتزامن هذه الأحداث مع تحذير رسمي من شبكة مكافحة الجرائم المالية (FinCEN) التابعة لوزارة الخزانة الأمريكية، يدعو المؤسسات المالية إلى الحذر والإبلاغ عن أي نشاط مشبوه يتعلق بأكشاك العملات الرقمية القابلة للتحويل، ضمن جهود مكافحة الاحتيال والأنشطة غير القانونية.
وقالت أندريا جاكي، مديرة FinCEN: “المجرمون لا يتوقفون عن ابتكار طرق جديدة لسرقة الأموال، وقد باتوا يستغلون التقنيات الحديثة مثل أكشاك العملات الرقمية. الولايات المتحدة ملتزمة بحماية بيئة الأصول الرقمية، وعلى المؤسسات المالية أن تلعب دورًا حاسمًا في هذه المعركة”.
