Công ty an ninh mạng CTM360 đã công bố một hoạt động độc hại đang diễn ra, có tên gọi “ClickTok,” nhắm mục tiêu cụ thể vào người dùng TikTok Shop trên toàn cầu thông qua chiến lược hai mũi nhọn: lừa đảo (phishing) và triển khai mã độc. Đây là một mối đe dọa mạng nghiêm trọng đòi hỏi sự cảnh giác cao độ từ người dùng và cộng đồng bảo mật.

Tổng quan Chiến dịch ClickTok

Chiến dịch này tận dụng các bản sao giả mạo của nền tảng thương mại điện tử trong ứng dụng TikTok, mạo danh các đối tác liên kết và giao diện hợp pháp để lôi kéo cả người dùng cuối (người mua) và những người tham gia Chương trình TikTok Shop Affiliate.

Các tác nhân đe dọa sử dụng các chiến thuật nâng cao, bao gồm quảng cáo Meta giả mạo và video TikTok do AI tạo ra. Những nội dung này bắt chước người có ảnh hưởng (influencers) hoặc đại sứ thương hiệu để phân phối liên kết lừa đảo và các ứng dụng chứa mã độc (trojanized applications).

Bằng cách đăng ký các tên miền giả mạo (lookalike domains) bắt chước URL TikTok chính thức, thường sử dụng các tên miền cấp cao (TLD) giá rẻ như .top, .shop, và .icu, kẻ tấn công đã lưu trữ hơn 10.000 trang web giả mạo tính đến thời điểm hiện tại. Phạm vi này mở rộng từ TikTok Shop sang các phiên bản lừa đảo của TikTok Wholesale và TikTok Mall.

Những tên miền này tạo điều kiện cho việc đánh cắp thông tin đăng nhập qua các trang lừa đảo (phishing pages) và phát tán các ứng dụng độc hại. Các ứng dụng này nhúng một biến thể của phần mềm gián điệp SparkKitty để thực hiện rò rỉ dữ liệu quy mô lớn từ các thiết bị bị xâm nhập.

Phạm vi toàn cầu của chiến dịch vượt xa sự hiện diện chính thức của TikTok Shop tại 17 quốc gia, bao gồm Anh, Mỹ, Indonesia và nhiều thị trường châu Âu và châu Á khác. Chiến dịch nhanh chóng mở rộng để khai thác người dùng ở các khu vực không bị giới hạn thông qua các liên kết tải xuống nhúng, mã QR và hơn 5.000 trang web phân phối ứng dụng riêng biệt. Đây là một mối đe dọa mạng quy mô toàn cầu, đòi hỏi các biện pháp phòng thủ chủ động.

Cấu trúc và Giai đoạn Tấn công Mạng

Phân tích của CTM360 tiết lộ kiến trúc tinh vi của chiến dịch, được ánh xạ vào khuôn khổ Scam Navigator lấy cảm hứng từ mô hình MITRE. Khung này phân định bảy giai đoạn chính: phát triển tài nguyên (resource development), né tránh (evasion), kích hoạt (trigger), phân phối (distribution), tương tác mục tiêu (target interaction), động cơ (motive), và kiếm tiền (monetization).

Cấu trúc này, được chia thành hai giai đoạn, mô tả cách kẻ tấn công thực hiện mối đe dọa mạng này. Nó làm nổi bật việc sử dụng các tên miền chuyên dụng, tên miền phụ và bộ công cụ lừa đảo (phishing kits) để né tránh phát hiện, đồng thời triển khai các mẫu mã độc SparkKitty.

Các Mẫu Lừa đảo (Phishing Templates)

Ba mẫu lừa đảo chính bắt chước hệ sinh thái TikTok Shop, Wholesale và Mall. Chúng lôi kéo người dùng bằng các danh sách sản phẩm giả mạo và chiến thuật khẩn cấp để gửi tiền điện tử, chẳng hạn như USDT, vào các ví giả mạo. Điều này dẫn đến việc chiếm đoạt giao dịch và đánh cắp tiền.

Một mẫu dựa trên mã độc riêng biệt giả mạo nền tảng quản lý đối tác liên kết TikTok Shop. Nó thúc đẩy người dùng tải xuống các ứng dụng bị trojan hóa (trojanized apps) giả mạo giao diện TikTok chính thức.

Cơ chế Vận hành Ứng dụng Mã độc

Các ứng dụng độc hại này khác biệt so với quy trình đăng nhập tiêu chuẩn bằng cách cho phép truy cập Google OAuth nhưng lại không thể xác thực dựa trên email. Chúng tiêm các phần tử WebView trái phép để thu thập thông tin đăng nhập và cookie phiên (session cookies).

Khi cài đặt, đặc biệt trên iOS thông qua giả mạo giao diện người dùng để vượt qua các lời nhắc bảo mật, các ứng dụng này thiết lập liên lạc Command-and-Control (C2) với các điểm cuối được hardcode. Ví dụ:

https://aa.6786587.top/?dev=az

Quá trình này bao gồm trao đổi payload mã hóa Base64 chứa dấu vân tay thiết bị (device fingerprints), TikTok ID, và token PHPSESSID. Điều này tạo điều kiện cho cấu hình động và kích hoạt việc rò rỉ dữ liệu, bao gồm trích xuất thư viện ảnh (gallery scraping) để tìm seed phrases hoặc ảnh chụp màn hình, và theo dõi thiết bị liên tục.

Phát tán và Kiếm tiền trong Tấn công Mạng

Các cơ chế kích hoạt và phân phối của chiến dịch dựa vào các hồ sơ giả mạo, quảng cáo lừa đảo với nội dung do AI tạo ra để quảng bá các ưu đãi giảm giá, và các tài khoản mạng xã hội bị xâm nhập trên các nền tảng như Facebook, TikTok, Telegram và WhatsApp. Những yếu tố này xây dựng độ tin cậy giả mạo, hướng người dùng đến các URL lừa đảo hoặc tải xuống ứng dụng đã sửa đổi thông qua các công cụ rút gọn URL.

Mục tiêu kiếm tiền tập trung vào lợi ích tài chính trực tiếp thông qua các vụ lừa đảo phí trả trước (advance fee scams). Các đối tác liên kết bị lừa nạp tiền vào ví giả mạo với lời hứa về hoa hồng, cùng với việc đánh cắp thanh toán thông qua chuyển khoản tiền điện tử không thể đảo ngược và lừa đảo thông tin đăng nhập để chiếm đoạt tài khoản. Đây là một phần quan trọng của tấn công mạng này.

Phân tích Chuyên sâu Mã độc SparkKitty

Trojan SparkKitty thể hiện các hành vi phần mềm gián điệp, chẳng hạn như thu thập dấu vân tay thiết bị (báo cáo phiên bản hệ điều hành, ID và vị trí) và đánh cắp hình ảnh từ thư viện. Các hành vi này được thực hiện theo các giai đoạn: kiểm tra C2 ban đầu qua các tệp cấu hình được mã hóa, tải lên siêu dữ liệu (metadata), và yêu cầu PUT có điều kiện để rò rỉ dữ liệu nếu cờ trạng thái cho phép.

Cơ sở hạ tầng C2 được hardcode trong mã Java của ứng dụng, thiếu khả năng xoay vòng động, cho thấy các lỗ hổng tiềm ẩn cho việc phát hiện bởi các hệ thống tình báo mối đe dọa mạng. Ban đầu được Kaspersky xác định, phần mềm gián điệp đa nền tảng này đã được điều chỉnh ở đây để phù hợp với các mồi nhử liên quan đến tiền điện tử, cho phép xâm nhập dai dẳng và bán các tài sản bị đánh cắp trên các thị trường dark web.

Biện pháp Phòng ngừa và Chỉ số Xâm nhập (IOCs)

CTM360 nhấn mạnh rằng các biện pháp phòng thủ nên nhắm vào các giai đoạn trong vòng đời chiến dịch, từ các chiến thuật né tránh như sử dụng hosting miễn phí hoặc chia sẻ, đến các điểm cuối kiếm tiền. Điều này nhằm giảm thiểu tác động của mối đe dọa mạng đối với người dùng toàn cầu.

Để hiểu rõ hơn về các chi tiết kỹ thuật và phân tích của CTM360 về chiến dịch này, độc giả có thể tham khảo báo cáo chính thức:
Báo cáo Chiến dịch ClickTok – SparkKitty và TikTok Shop Scam

Các Chỉ số Xâm nhập (IOCs) Đáng chú ý:

• Tên miền lừa đảo (ví dụ):
• Các tên miền sử dụng TLD giá rẻ như .top, .shop, .icu.
• Hơn 10.000 tên miền giả mạo đã được phát hiện, bắt chước TikTok Shop, TikTok Wholesale, TikTok Mall.
• Điểm cuối Command-and-Control (C2):
• https://aa.6786587.top/?dev=az
• Mã độc:
• Biến thể phần mềm gián điệp SparkKitty (SparkKitty spyware variant).
• Tên ứng dụng giả mạo:
• Các ứng dụng giả mạo giao diện TikTok Shop, TikTok Wholesale, và các ứng dụng quản lý đối tác liên kết TikTok Mall.

Việc nhận diện và đối phó hiệu quả với mối đe dọa mạng ngày càng phức tạp như ClickTok đòi hỏi sự hợp tác liên tục giữa các tổ chức an ninh mạng và người dùng cuối. Các bản cập nhật bảo mật định kỳ và sự cẩn trọng khi tương tác với các nội dung trực tuyến là chìa khóa để ngăn chặn mối đe dọa mạng này.