Campanha usa páginas falsas, verificação antirobô e captura de credenciais para tomar contas comerciais; outro fluxo usa anexos SVG em espanhol para entregar malware escrito em Go.
| Componente | Contas TikTok for Business, páginas de phishing AitM, verificação Cloudflare Turnstile e anexos SVG usados em campanha separada contra alvos na Venezuela. |
| Vetor | Links maliciosos levam a páginas que imitam TikTok for Business ou Google Careers; em outro fluxo, mensagens usam anexos SVG em espanhol disfarçados de faturas, recibos ou orçamentos. |
| Impacto | Captura de credenciais e possível sequestro de contas comerciais; no fluxo com SVG, abertura do arquivo aciona comunicação com URL de download e entrega de malware escrito em Go. |
| Prioridade | Restringir autenticação de contas comerciais, investigar acessos iniciados após desafios Turnstile suspeitos, bloquear anexos SVG não esperados e revisar telemetria de downloads acionados por arquivos gráficos. |
| Artefatos | Páginas falsas de TikTok for Business, página falsa de Google Careers com opção de agendamento de chamada, Cloudflare Turnstile como barreira contra análise automatizada e encurtador ja[.]cat em cadeia separada. |
| Malware | O artefato baixado na campanha com SVG foi descrito como malware escrito em Go com sobreposições a uma amostra de ransomware BianLian documentada anteriormente. |
Uma campanha de phishing adversary-in-the-middle mira contas TikTok for Business com páginas falsas e uma etapa de evasão baseada em Cloudflare Turnstile. O objetivo operacional é obter credenciais de contas comerciais, um tipo de ativo com valor alto porque pode ser reutilizado para veicular publicidade maliciosa, publicar links fraudulentos ou impulsionar cadeias de distribuição de malware. O fluxo começa com o clique da vítima em um link malicioso e termina em uma tela de autenticação AitM criada para capturar credenciais enquanto dificulta a inspeção por bots, crawlers e scanners automáticos.
A campanha apresenta variação de isca. Um caminho leva a uma página visualmente parecida com TikTok for Business. Outro caminho imita Google Careers e oferece uma opção de agendamento de chamada para discutir uma oportunidade. A presença dessa segunda isca indica que a engenharia social não depende apenas da marca TikTok: o operador tenta conduzir a vítima até a mesma infraestrutura de coleta por meio de narrativas diferentes, aproveitando tanto interesse comercial em contas de mídia social quanto expectativas de contato profissional.
O mesmo conjunto de informações também descreve uma campanha separada de phishing com anexos SVG contra alvos localizados na Venezuela. Nesse fluxo, mensagens carregam nomes de arquivos em espanhol e se passam por faturas, recibos ou orçamentos. Quando o SVG malicioso é aberto, ele se comunica com uma URL que baixa um artefato malicioso. O uso de SVG é relevante porque o formato costuma ser tratado como imagem, mas pode carregar lógica suficiente para iniciar uma cadeia de entrega quando renderizado por aplicações vulneráveis, permissivas ou mal configuradas.
No caso das contas TikTok for Business, a etapa AitM é o núcleo técnico da ameaça. Em vez de apenas coletar dados digitados em um formulário estático, uma página adversary-in-the-middle fica posicionada entre a vítima e o serviço legítimo ou simula essa experiência de autenticação para capturar credenciais com maior credibilidade. A campanha adiciona uma verificação Cloudflare Turnstile antes de expor a página de login maliciosa. Essa barreira não é o objetivo final do ataque; ela funciona como controle seletivo para reduzir análise automatizada, impedir varredura simples de conteúdo e aumentar a chance de que apenas navegadores considerados plausíveis vejam a etapa de captura.
A variação com página falsa de Google Careers amplia a superfície de engenharia social. A opção de marcar uma chamada sobre uma oportunidade cria contexto de interação humana, reduz suspeita e pode servir para qualificar a vítima antes do envio para a página maliciosa. Esse desenho é comum em campanhas que buscam contas com valor operacional, pois contas comerciais de plataforma social podem ter permissões administrativas, acesso a orçamento de anúncios, públicos segmentados, histórico de campanhas e reputação pré-existente. O material analisado também registra que uma iteração anterior dessa campanha de phishing de credenciais foi observada em outubro de 2025 com e-mails disfarçados de mensagens de aproximação.
Na campanha com SVG, a cadeia é distinta: o anexo não é apresentado apenas como documento, mas como ponto de partida para comunicação externa. Os arquivos têm nomes em espanhol e se passam por documentos financeiros ou comerciais, como faturas, recibos e orçamentos. Ao serem abertos, os SVGs contatam uma URL que baixa o artefato malicioso. A cadeia usa ja[.]cat para encurtar URLs de domínios legítimos com vulnerabilidade de redirecionamento aberto, permitindo apontar o usuário para o domínio final de download. O artefato baixado é escrito em Go e apresenta sobreposições com uma amostra de ransomware BianLian descrita anteriormente.
A superfície principal é formada por usuários com acesso a contas TikTok for Business, especialmente perfis que administram campanhas, ativos de marca, permissões comerciais ou contas com capacidade de publicar e promover conteúdo. O risco não se limita ao usuário individual que digita a senha: uma conta comercial tomada pode ser usada como infraestrutura de confiança para alcançar terceiros, promover links maliciosos e explorar reputação já estabelecida. O contexto também registra histórico de abuso do TikTok para distribuir links maliciosos e instruções de engenharia social, incluindo fluxos no estilo ClickFix com vídeos gerados por IA se passando por guias de ativação para Windows, Spotify e CapCut, usados em entregas de infostealers como Vidar, StealC e Aura Stealer.
A superfície secundária envolve ambientes que permitem recebimento e abertura de SVGs como anexos sem controle específico. Embora SVG pareça um formato gráfico, sua capacidade de referenciar conteúdo externo torna o arquivo útil em cadeias de phishing. Em organizações que tratam anexos de imagem como baixo risco, a abertura por usuário final pode gerar uma requisição externa e iniciar download de malware. A campanha descrita mira alvos na Venezuela e usa nomes de arquivo em espanhol, o que indica adaptação linguística ao público visado, sem que o contexto permita extrapolar setores, organizações específicas ou volume de vítimas.
- Usuários com credenciais de TikTok for Business e permissões para administrar contas comerciais ou campanhas.
- Caixas de e-mail que recebem links de aproximação profissional, convites falsos ou páginas de recrutamento simuladas.
- Ambientes que permitem anexos SVG de remetentes externos sem inspeção de conteúdo ativo ou controle de comunicação subsequente.
- Navegadores e proxies corporativos que registram acessos a páginas com Turnstile seguidos de formulários de autenticação fora do domínio esperado.
A investigação deve começar por identidade e navegação. Para contas TikTok for Business, procure eventos de autenticação próximos a acessos a domínios recém-observados, páginas de login parecidas com a marca e desafios Cloudflare Turnstile que não pertençam ao fluxo oficial esperado. Em proxies, DNS e EDR, uma sequência de clique em link externo, carregamento de página com desafio antirobô e submissão de credenciais em domínio não aprovado deve receber prioridade alta. Mudanças posteriores em sessão, permissões, dispositivo de acesso ou comportamento de publicação podem indicar que a credencial capturada foi usada para tomada da conta.
Em e-mail, a caça deve separar mensagens de outreach profissional, convites de carreira e comunicações comerciais que apontem para páginas externas com semelhança visual a TikTok for Business ou Google Careers. O conteúdo não precisa conter malware anexado para ser perigoso: nesse caso, o link é suficiente para conduzir a vítima ao AitM. Na campanha com SVG, a telemetria crítica está no anexo, no processo que abre o arquivo, na requisição externa feita após a abertura e no download subsequente de binário escrito em Go. O uso de encurtador e redirecionamento aberto exige preservar cadeia de URL, referer, destino final e processo responsável pela conexão.
A detecção não deve depender apenas de palavras-chave de marca. A presença de Cloudflare Turnstile em uma página não prova abuso, mas o uso desse desafio antes de uma página de login que não pertence ao provedor legítimo é um sinal forte quando combinado com tema de TikTok for Business, recrutamento ou agendamento de chamada. Para SVGs, sinais como arquivo gráfico recebido por e-mail, nome financeiro em espanhol, abertura local e conexão HTTP subsequente para baixar artefato executável formam uma sequência mais útil do que qualquer indicador isolado.
- Acesso a páginas com Cloudflare Turnstile antes de formulário de login relacionado a TikTok for Business ou falsa oportunidade profissional.
- E-mails de aproximação ou recrutamento contendo links externos que levam a páginas de marca imitadas.
- Alterações de sessão, dispositivo, localização ou permissões em contas TikTok for Business após clique em link suspeito.
- Anexos SVG com nomes em espanhol associados a faturas, recibos ou orçamentos e requisições externas logo após abertura.
- Downloads acionados por SVG usando encurtador
ja[.]catou redirecionamentos abertos em domínios legítimos comprometidos por falha de redirecionamento.
A resposta para o fluxo AitM deve priorizar contenção de identidade. Contas TikTok for Business expostas a links suspeitos precisam ter sessões encerradas, senhas trocadas e fatores de autenticação revisados. Quando houver administração compartilhada, é necessário revisar usuários autorizados, permissões concedidas, métodos de recuperação e alterações recentes em campanhas. A defesa deve tratar a página com Turnstile como mecanismo de evasão e não como sinal de legitimidade. Uma página maliciosa pode se aproveitar de controles antiautomação legítimos para impedir análise, enquanto continua servindo conteúdo fraudulento para vítimas reais.
Controles preventivos devem bloquear domínios recém-criados ou não categorizados quando associados a páginas de login de alto valor, exigir autenticação multifator resistente a phishing quando disponível e educar equipes de marketing, social media e mídia paga sobre iscas de parceria, recrutamento e suporte comercial. Como a campanha tem variações de marca, a validação de URL deve ser mais importante do que aparência visual. A organização também deve manter inventário de quem pode administrar contas comerciais e reduzir permissões permanentes quando elas não forem necessárias.
Para a campanha com SVG, a mitigação passa por política de anexos e inspeção de conteúdo ativo. Gateways de e-mail devem tratar SVG externo como formato capaz de iniciar comunicação de rede, não apenas como imagem estática. Quando anexos desse tipo forem necessários ao negócio, a abertura deve ocorrer em ambiente isolado, com bloqueio de chamadas externas não autorizadas e registro do processo responsável. Qualquer host que abriu SVG suspeito e baixou artefato deve ser isolado para coleta de evidências, análise de persistência e verificação de execução, sem publicar ou reutilizar o binário fora de ambiente controlado.
- Encerrar sessões e trocar credenciais de contas TikTok for Business que interagiram com páginas suspeitas.
- Revisar permissões administrativas, métodos de recuperação e alterações recentes em contas comerciais.
- Bloquear ou isolar anexos SVG externos quando não houver necessidade operacional clara.
- Registrar cadeia completa de redirecionamento, incluindo encurtador, domínio intermediário e destino final de download.
- Validar controles de e-mail, proxy, DNS e EDR para alertar sobre SVG seguido de conexão externa e download de executável.
0 Comentários