Cyberthreat.id – Perusahaan keamanan siber Checkmarx mengungkapkan bahwa peretas memanfaatkan tantangan TikTok yang sedang tren bernama “Invisible Body” untuk menyebarkan malware di ribuan perangkat dan mencuri kata sandi, akun Discord, dan, berpotensi, dompet cryptocurrency.

Tantangan TikTok yang sedang tren mengharuskan pengguna merekam dirinya saat telanjang dengan menggunakan filter “Invisible Body” diTikTok, yang menghapus tubuh dari video dan menggantinya dengan latar belakang buram. Tantangan ini menyebabkan orang memposting video mereka yang diduga telanjang tetapi dikaburkan oleh filter.

Dikutip dari Bleeping Computer, dalam memanfaatkan tren ini, pelaku ancaman membuat video TikTok yang mengklaim menawarkan filter "unfiltering" khusus untuk menghapus efek penyamaran tubuh TikTok dan mengekspos tubuh telanjang para TikToker. Namun, perangkat lunak ini palsu dan menginstal malware "WASP Stealer (Discord Token Grabber)", yang mampu mencuri akun Discord, kata sandi, dan kartu kredit yang disimpan di browser, dompet cryptocurrency, dan bahkan file dari komputer korban.

“Video-video ini menerima lebih dari satu juta tampilan segera setelah diposting, dengan salah satu server Discord aktor ancaman mengumpulkan lebih dari 30.000 anggota,” kata peneliti Checkmarx dalam laporan terbarunya.

Para peneliti juga menemukan dua video TikTok yang diposting oleh penyerang yang dengan cepat mengumpulkan lebih dari satu juta tampilan gabungan. Pengguna TikTok yang saat ini ditangguhkan, @learncyber dan @kodibtc telah membuat video untuk mempromosikan aplikasi perangkat lunak untuk "menghapus filter badan tak terlihat" yang ditawarkan di server Discord bernama "Space Unfilter."

Pelaku ancaman telah memindahkan server Discord ini, tetapi Checkmarx menyatakan bahwa mereka memiliki sekitar 32.000 anggota pada satu titik. Setelah para korban bergabung dengan server Discord, mereka melihat tautan yang diposting oleh bot yang menunjuk ke repositori GitHub yang menghosting malware tersebut.

Serangan ini sangat sukses sehingga repositori jahat tersebut telah mencapai status "proyek GitHub yang sedang tren", dan meskipun telah diganti namanya. File proyek berisi file batch Windows (.bat) yang, ketika dijalankan, menginstal paket Python berbahaya (pengunduh WASP) dan file ReadMe yang tertaut ke video YouTube yang berisi petunjuk tentang cara menginstal alat "unfilter" TikTok.

Analis Checkmarx menemukan bahwa penyerang menggunakan beberapa paket Python yang dihosting di PyPI, termasuk "tiktok-filter-api", "pyshftuler", "pyiopcs", dan "pydesings", dengan yang baru ditambahkan setiap kali paket lama dilaporkan dan dihapus. Selain itu, penyerang menggunakan teknik "StarJacking" di PyPI, menautkan proyek mereka ke proyek GitHub populer yang tidak ada hubungannya dengan mereka agar tampak sah.

“Tampaknya serangan ini sedang berlangsung, dan setiap kali tim keamanan di Python menghapus paketnya, dia dengan cepat berimprovisasi dan membuat identitas baru atau hanya menggunakan nama yang berbeda,” kata peneliti Checkmarx.

Pada saat penulisan ini, repositori GitHub yang digunakan oleh penyerang masih aktif, tetapi paket "TikTok unfilter" telah diganti dengan file "Nitro generator". Server Discord "Unfilter Space" dibuat offline, dengan pelaku ancaman mengklaim telah pindah ke server lain.