Các nhà nghiên cứu an ninh mạng vừa vạch trần một chiến dịch tấn công quy mô lớn đang nhắm mục tiêu đến người dùng TikTok Shop trên toàn cầu, với mục tiêu đánh cắp thông tin đăng nhập và phát tán các ứng dụng chứa mã độc.
“Những kẻ tấn công đang lợi dụng nền tảng thương mại điện tử tích hợp trong ứng dụng TikTok thông qua chiến thuật tấn công kép, kết hợp phishing (lừa đảo trực tuyến) và phát tán malware để nhắm vào người dùng,” CTM360 cho biết. “Chiến thuật cốt lõi là tạo ra bản sao giả mạo của TikTok Shop, khiến người dùng tin rằng họ đang giao dịch với đối tác liên kết hợp pháp hoặc nền tảng chính thức.”
Chiến dịch này được CTM360 (công ty an ninh mạng có trụ sở tại Bahrain) đặt tên là FraudOnTok, phản ánh chiến lược phân phối đa hướng của nhóm tấn công, bao gồm quảng cáo trên Meta và các video TikTok được tạo bằng trí tuệ nhân tạo (AI) giả dạng người nổi tiếng hoặc đại sứ thương hiệu chính thức.
Chiến thuật và hạ tầng tấn công
Trọng tâm của chiến dịch là việc sử dụng hàng loạt tên miền giả mạo (lookalike domains) có cấu trúc gần giống các URL hợp pháp của TikTok. Tính đến thời điểm hiện tại, hơn 15.000 website giả mạo đã được phát hiện, phần lớn sử dụng các tên miền cấp cao như .top, .shop, và .icu.
Các tên miền này được thiết kế để:
-
Lưu trữ trang đích phishing nhằm đánh cắp thông tin đăng nhập người dùng.
-
Phân phối các ứng dụng giả mạo chứa biến thể của SparkKitty – một loại cross-platform malware có khả năng thu thập dữ liệu trên cả Android và iOS.
Ngoài ra, nhiều trang phishing còn dụ người dùng nạp tiền điện tử vào các “cửa hàng” giả mạo, với chiêu trò đăng bán sản phẩm ảo kèm mức giảm giá sâu. CTM360 cho biết đã phát hiện ít nhất 5.000 URL được thiết lập nhằm quảng bá ứng dụng TikTok Shop giả mạo có chứa mã độc.
“Chiến dịch này giả lập hoạt động TikTok Shop hợp pháp thông qua quảng cáo, hồ sơ ảo và nội dung AI-generated, lừa người dùng tương tác để phát tán malware,” CTM360 cảnh báo. “Quảng cáo giả lan truyền mạnh trên Facebook và TikTok, sử dụng video AI mô phỏng các chương trình khuyến mãi thật nhằm thu hút người dùng.”
Ba mục tiêu chính của chiến dịch FraudOnTok
Mặc dù hình thức đa dạng, mục tiêu cuối cùng vẫn là trục lợi tài chính:
-
Lừa đảo người mua và nhà bán hàng liên kết (affiliate sellers) bằng sản phẩm giả, khuyến mãi “sốc” và yêu cầu thanh toán qua tiền điện tử.
-
Dụ các đối tác affiliate nạp tiền vào ví nội bộ giả dưới danh nghĩa “tạm ứng hoa hồng” hoặc “thưởng rút tiền” – vốn không bao giờ tồn tại.
-
Đánh cắp thông tin đăng nhập TikTok thông qua trang đăng nhập giả hoặc hướng dẫn tải ứng dụng TikTok đã bị trojan hóa.
Kỹ thuật tấn công ứng dụng
Ứng dụng giả mạo, sau khi cài đặt, sẽ yêu cầu nạn nhân đăng nhập bằng email. Quá trình này liên tục “báo lỗi” nhằm dẫn dụ người dùng chuyển sang đăng nhập bằng tài khoản Google.
Chiêu thức này nhằm bỏ qua cơ chế xác thực truyền thống và lợi dụng OAuth session token để truy cập trái phép mà không cần xác minh email trong ứng dụng. Khi nạn nhân truy cập TikTok Shop từ ứng dụng giả, họ sẽ bị chuyển đến trang đăng nhập giả để tiếp tục đánh cắp thông tin.
Bên trong ứng dụng chứa SparkKitty, một loại malware có khả năng:
-
Fingerprinting thiết bị để thu thập đặc trưng định danh.
-
Sử dụng OCR (nhận dạng ký tự quang học) để phân tích ảnh chụp màn hình trong thư viện ảnh, tìm kiếm seed phrase của ví tiền điện tử.
-
Gửi dữ liệu thu thập được đến máy chủ do kẻ tấn công kiểm soát.
Các chiến dịch phishing song song
Song song với FraudOnTok, CTM360 còn phát hiện chiến dịch CyberHeist Phish, lợi dụng quảng cáo Google Ads và hàng nghìn liên kết phishing để lừa người dùng doanh nghiệp đang tìm kiếm trang đăng nhập ngân hàng trực tuyến. Các trang giả mạo được tùy biến giống hệt cổng đăng nhập thật, đánh cắp thông tin đăng nhập và tương tác real-time để vượt qua xác thực hai yếu tố (2FA) trong từng bước: đăng nhập, tạo người thụ hưởng, và chuyển khoản.
Gần đây, các chiến dịch phishing cũng nhắm vào người dùng Meta Business Suite trong chiến dịch Meta Mirage, sử dụng email và tin nhắn giả thông báo vi phạm chính sách, khóa tài khoản quảng cáo hoặc yêu cầu xác minh. Các trang lừa đảo này được lưu trữ trên Vercel, GitHub Pages, Netlify và Firebase, nhằm đánh cắp thông tin đăng nhập và cookie.
“Chiến dịch này tập trung vào việc chiếm quyền các tài sản kinh doanh giá trị cao như tài khoản quảng cáo, trang thương hiệu đã xác minh, và quyền quản trị cấp cao,” CTM360 cho biết.
Cảnh báo từ cơ quan chức năng
Những phát hiện trên trùng với cảnh báo mới từ Mạng lưới Thực thi Tội phạm Tài chính (FinCEN) thuộc Bộ Tài chính Hoa Kỳ, kêu gọi các tổ chức tài chính cảnh giác và báo cáo hoạt động đáng ngờ liên quan đến máy giao dịch tiền điện tử (CVC kiosks) nhằm ngăn chặn gian lận và các hoạt động phi pháp khác.
“Tội phạm luôn kiên trì trong việc đánh cắp tiền từ nạn nhân, và chúng đã học cách khai thác các công nghệ mới như CVC kiosks,” Giám đốc FinCEN Andrea Gacki cho biết. “Hoa Kỳ cam kết bảo vệ hệ sinh thái tài sản số cho các doanh nghiệp và người tiêu dùng hợp pháp, và các tổ chức tài chính là đối tác then chốt trong nỗ lực này.”
