コンテンツにスキップするには Enter キーを押してください

15,000件の偽TikTok Shopドメインがマルウェアを配布、AI駆動の詐欺キャンペーンで暗号資産を窃取

投稿日 2025年8月5日

Image

サイバーセキュリティ研究者たちは、TikTok Shopの利用者を世界中で標的とし、認証情報の窃取やトロイの木馬化されたアプリの配布を狙う大規模な悪質キャンペーンの実態を明らかにしました。

「脅威アクターは、公式アプリ内のeコマースプラットフォームを悪用し、フィッシングとマルウェアを組み合わせた二重の攻撃戦略でユーザーを標的にしています」とCTM360は述べています。「主な手口は、TikTok Shopの偽装レプリカを使って、ユーザーに正規のアフィリエイトや本物のプラットフォームとやり取りしていると誤認させることです。」

この詐欺キャンペーンはバーレーン拠点のサイバーセキュリティ企業によってClickTokと名付けられ、Meta広告やAI生成のTikTok動画を使ってインフルエンサーや公式ブランドアンバサダーを模倣するなど、多角的な配信戦略が指摘されています。

この攻撃の中心は、正規のTikTokのURLに似せた偽装ドメインの利用です。これまでに15,000件以上のなりすましウェブサイトが確認されており、その大半は.top、.shop、.icuなどのトップレベルドメイン上にホスティングされています。

これらのドメインは、ユーザーの認証情報を盗むフィッシング用ランディングページや、既知のクロスプラットフォーム型マルウェアSparkKittyの亜種を配布する偽アプリをホストするために設計されています。このマルウェアはAndroidおよびiOSデバイスの両方からデータを収集することが可能です。

さらに、これらのフィッシングページの一部は、偽の商品リストや大幅な割引を宣伝することで、ユーザーを詐欺ストアに誘導し、暗号資産の入金を促します。CTM360によると、TikTok Shopとして宣伝されているマルウェア入りアプリのダウンロードを目的としたURLが少なくとも5,000件特定されています。

「この詐欺は、偽広告や偽プロフィール、AI生成コンテンツを通じて正規のTikTok Shopの活動を模倣し、ユーザーを騙してマルウェアを拡散させています」と同社は指摘しています。「偽広告はFacebookやTikTokで広く拡散されており、AI生成動画が本物のプロモーションを装って大幅割引でユーザーを引き付けています。」

Image

この詐欺スキームは3つの動機で運営されていますが、最終的な目的はどのような不正な収益化手段であれ金銭的利益です:

  • 偽の商品や割引商品で購入者やアフィリエイトプログラムの販売者(アフィリエイトリンク経由で売上に応じて報酬を得るクリエイター)を騙し、暗号資産での支払いを要求する
  • アフィリエイト参加者に、将来のコミッション支払いや出金ボーナスを約束して、偽のサイト内ウォレットに暗号資産を「チャージ」させる(実際には支払われない)
  • 偽のTikTok Shopログインページを使ってユーザーの認証情報を盗む、またはトロイの木馬化されたTikTokアプリのダウンロードを指示する

悪質なアプリがインストールされると、被害者はメールアカウントを使って認証情報の入力を促されますが、脅威アクターの意図的な操作により何度も失敗し、代わりにGoogleアカウントでのログインを促されます。

この手法は、従来の認証フローを回避し、OAuthベースの方法で作成されたセッショントークンを悪用して、アプリ内のメール認証を必要とせずに不正アクセスを行うことを目的としている可能性があります。ログインした被害者がTikTok Shopセクションにアクセスしようとすると、認証情報の入力を求める偽のログインページに誘導されます。

また、このアプリにはSparkKittyも組み込まれており、デバイスのフィンガープリント取得や光学式文字認識(OCR)技術を使ってユーザーのフォトギャラリー内のスクリーンショットを解析し、暗号資産ウォレットのシードフレーズを抽出して攻撃者が管理するサーバーに送信することが可能です。

この情報公開は、同社がGoogle広告や数千のフィッシングリンクを使い、企業のオンラインバンキングサイトを検索する被害者を一見無害なページにリダイレクトし、ターゲットとなる銀行のログインポータルを模倣したページで認証情報を盗む「CyberHeist Phish」と呼ばれる別のフィッシングキャンペーンについても詳細を明らかにしたタイミングで行われました。

「このフィッシング作戦は、その回避的かつ選択的な性質、そして脅威アクターがターゲットとリアルタイムでやり取りし、ログイン、受取人作成、資金移動の各段階で二要素認証を収集する点で特に高度です」とCTM360は述べています

近年、フィッシングキャンペーンはMeta Business Suiteの利用者も標的としており、「Meta Mirage」と呼ばれるキャンペーンの一環で、偽のポリシー違反通知や広告アカウント制限通知、偽の認証リクエストをメールやダイレクトメッセージで配信し、被害者をVercel、GitHub Pages、Netlify、Firebase上にホストされた認証情報やクッキー収集ページへ誘導しています。

「このキャンペーンは、広告アカウント、認証済みブランドページ、プラットフォーム内の管理者レベルのアクセスなど、高価値なビジネス資産の侵害に焦点を当てています」と同社は付け加えています

これらの動向は、米国財務省金融犯罪取締ネットワーク(FinCEN)が、金融機関に対し、詐欺やその他の違法行為と闘うため、コンバーチブル仮想通貨(CVC)キオスクに関連する疑わしい活動の特定と報告に警戒するよう勧告を発表したタイミングと一致しています。

「犯罪者は被害者から金銭を奪うために絶え間なく努力しており、CVCキオスクのような革新的な技術を悪用する術を身につけています」とFinCENディレクターのアンドレア・ガッキ氏は述べています。「米国は、正当な事業者や消費者のためにデジタル資産エコシステムを保護することに尽力しており、金融機関はその取り組みの重要なパートナーです。」

翻訳元: https://thehackernews.com/2025/08/15000-fake-tiktok-shop-domains-deliver.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です