Los actores de amenazas están utilizando páginas de phishing de adversario en el medio (AitM) para tomar el control de las cuentas de TikTok for Business en una nueva campaña, según un noticia de Push Security.
Las cuentas comerciales asociadas con plataformas de redes sociales son un objetivo fructífero, ya que los delincuentes pueden utilizarlas como armas para realizar publicidad y distribución de malware.
“Históricamente se ha abusado de TikTok para distribuir enlaces maliciosos e instrucciones de ingeniería social”, dijo Push Security. “Esto incluye múltiples ladrones de información como Vidar, StealC y Aura Stealer entregados a través de instrucciones estilo ClickFix con videos generados por IA que actúan como guías de activación para Windows, Spotify y CapCut”.
La campaña comienza engañando a las víctimas para que hagan clic en un enlace receloso que las dirige a una página similar que se hace producirse por TikTok for Business o una página diseñada para hacerse producirse por Google Careers, adyacente con una opción para programar una emplazamiento para analizar la oportunidad.
Vale la pena señalar que Sublime Security señaló una traducción precursor de esta campaña de phishing de credenciales en octubre de 2025, con correos electrónicos disfrazados de mensajes de divulgación utilizados como táctica de ingeniería social.
Independientemente del tipo de página servida, el objetivo final es el mismo: realizar una demostración de Cloudflare Turnstile para impedir que los bots y los escáneres automáticos analicen el contenido de la página y ofrecer una página de inicio de sesión de phishing AitM maliciosa diseñada para robar sus credenciales.
Las páginas de phishing están alojadas en los siguientes dominios:
- bienvenido.careerscrews(.)com
- bienvenido.careerstaffer(.)com
- bienvenido.careersworkflow(.)com
- bienvenido.careerstransform(.)com
- bienvenido.careersupskill(.)com
- bienvenido.carreraséxito(.)com
- bienvenido.careersstaffgrid(.)com
- bienvenido.progresoprofesional(.)com
- bienvenido.careersgrower(.)com
- bienvenido.careersengage(.)com
- bienvenido.careerscrews(.)com
El progreso se produce cuando se ha observado otra campaña de phishing que utiliza archivos adjuntos de gráficos vectoriales escalables (SVG) para entregar malware a objetivos ubicados en Venezuela.
Según un noticia publicado por WatchGuard, los mensajes tienen archivos SVG con nombres de archivo en gachupin, disfrazados de facturas, recibos o presupuestos.
“Cuando se abren estos SVG maliciosos, se comunican con una URL que descarga el artefacto receloso”, dijo la compañía. “Esta campaña utiliza ja.cat para acortar las URL de dominios legítimos que tienen una vulnerabilidad que permite redirecciones a cualquier URL, de modo que apunten al dominio innovador donde se descarga el malware”.
El artefacto descargado es un malware escrito en Go que se superpone con una muestra de ransomware BianLian detallada por SecurityScorecard en enero de 2024.
“Esta campaña es un robusto recordatorio de que incluso tipos de archivos aparentemente inofensivos como los SVG pueden estilarse para producir amenazas graves”, dijo WatchGuard. “En este caso, se utilizaron archivos adjuntos SVG maliciosos para iniciar una cautiverio de phishing que condujo a la entrega de malware asociado con la actividad de BianLian”.
