行业新闻与博客

网络犯罪分子最近部署了一系列新的钓鱼页面，旨在利用 TikTok 或 Google 主题内容攻击 TikTok 企业帐户。

Push Security 表示，他们发现了一波新的中间人攻击 (AiTM) 网络钓鱼页面，这些页面于 3 月 24 日在短短九秒内注册。

这组页面全部托管在 Cloudflare 后面，并且都由同一注册商 Nicenic International Group 注册，Push Security 表示，该注册商经常被滥用于批量网络钓鱼域名注册。 

这些页面采用相同的命名规则，都是 welcome.careers*[.] com 的各种衍生形式。据 Push Security 的研究人员称，随着攻击活动的升级，这种风格的恶意域名列表预计还会增加。

虽然最初的投放机制尚未得到证实，但 Push Security 表示，它可能与 Sublime 在 10 月份报道的一起攻击活动类似，该活动使用了动态生成的电子邮件，并包含一个克隆的 Google 招聘页面。

点击该链接后，用户首先会通过合法的 Google Cloud Storage 网站进行重定向，然后再加载恶意页面。

该网站采用 Cloudflare Turnstile 检查来防止安全机器人分析页面。

受害者会看到与 TikTok 或谷歌相关的内容。随着用户按照流程操作，最终会被引导至 AiTM 钓鱼页面。

在这种情况下，受害者需要填写一份基本信息表，然后才会看到一个恶意登录页面，而该页面实际上是反向代理 AiTM 网络钓鱼工具包的伪装。

为什么威胁行为者将目标对准 TikTok

TikTok for Business 账号通常被公司营销团队用于管理广告活动。

Push Security 表示，针对 TikTok 的攻击发展“值得关注”，因为威胁研究人员拦截的大多数钓鱼页面都是为了模仿 Google 和 Microsoft 等 SSO 平台。

Push Security 在 3 月 26 日发表的一篇博客文章中表示：“乍一看，TikTok 似乎是一个奇怪的选择。但考虑到 TikTok 历史上曾被滥用以传播恶意链接和社会工程指令，选择它就更有意义了。”

该平台已被用于通过类似 ClickFix 的说明，利用人工智能生成的视频，伪装成 Windows 、 Spotify 和 CapCut 的激活指南，来传播信息窃取程序。 

该社交媒体平台也是加密货币诈骗者的“常见狩猎场” 。

值得注意的是，由于大多数用户会选择“使用 Google 登录”，因此任何使用 Google 登录 TikTok 帐户的用户，其用于投放广告的两个帐户实际上都会同时被盗用。这可能会引发 Google 广告管理器漏洞利用链，网络犯罪分子会以广告管理器帐户为目标，实施恶意广告诈骗。