Una sofisticada campaña cibercriminal denominada “ClickTok” se ha convertido en una de las amenazas más extensas dirigidas a los usuarios de Tiktok Shop en todo el mundo, con investigadores que identifican más de 10,000 dominios maliciosos diseñados para robar credenciales de los usuarios e implementar un avance avanzado.
La campaña representa una escalada significativa en los ataques cibernéticos centrados en el comercio electrónico, que combina técnicas de phishing tradicionales con una distribución de malware de vanguardia para explotar la creciente popularidad de la plataforma de compras en la aplicación de Tiktok.
Los actores de amenaza detrás de Clicktok han desarrollado una estrategia de ataque de doble punta que se dirige a los compradores regulares y a los participantes en el programa de afiliados de Tiktok.
Scam Navigator – Scam Shop Shop (Fuente – CTM360)
La campaña aprovecha las réplicas engañosas de las interfaces legítimas de Tiktok Shop, engañando a los usuarios para que crean que están interactuando con las características oficiales de la plataforma.
Estos sitios fraudulentos se extienden más allá de la simple suplantación de Tiktok Shop para incluir versiones falsas de Tiktok Wholesale y Tiktok Mall, creando un ecosistema integral de escaparates maliciosos diseñados para maximizar el compromiso de las víctimas.
Etapa de monetización del sitio de phishing de Tiktok (Fuente – CTM360)
Analistas CTM360 identificado La campaña en agosto de 2025, revelando la naturaleza sofisticada de la operación que explota tanto los usuarios de la confianza en la marca de Tiktok como los incentivos financieros asociados con los programas de marketing de afiliación.
Los investigadores descubrieron que los actores de amenaza están distribuyendo su carga útil maliciosa a través de más de 5,000 sitios de descarga de aplicaciones distintas, utilizando enlaces de descarga integrados y códigos QR para facilitar la distribución generalizada de aplicaciones troyanizadas.
La metodología de ataque implica la creación de dominios parecidos que utilizan dominios de nivel superior de bajo costo como .top, .shop y .icu, que tienen propósitos duales: alojamiento de páginas de phishing para robo de credenciales y distribución de aplicaciones maliciosas.
Estos dominios a menudo se alojan en servicios de alojamiento compartidos o gratuitos, lo que los hace rentables para los atacantes y desafiantes para los defensores que rastreen de manera integral.
El alcance global de la campaña se extiende mucho más allá de los 17 países donde Tiktok Shop está disponible oficialmente, dirigido a los usuarios de todo el mundo a través de contenido generado por IA y anuncios falsos de redes sociales.
Infraestructura técnica y operaciones de comando y control
Las aplicaciones maliciosas distribuidas a través de esta campaña implementan una variante del spyware Sparkkitty, que establece una comunicación persistente con la infraestructura controlada por los atacantes.
La descompilación del malware revela servidores de control y control codificados, con el punto final primario integrado estáticamente en el código fuente de la aplicación:–
Url url = nueva url (“https://aa.6786587.top/?dev=az”);
Este enfoque codificado sugiere un actor de amenaza inmadura o un desarrollo de etapas tempranas, ya que el malware más sofisticado generalmente emplea técnicas dinámicas de rotación C2.
El malware inicia la comunicación enviando POST y obtener solicitudes que contienen datos cosechados, incluidas las ID de usuario de Tiktok y los tokens de sesión (PHPSESSID).
Iniciar comunicación con C2 (fuente – CTM360)
El servidor C2 responde con cargas útiles codificadas en Base64 que contienen configuraciones dinámicas, identificadores de campaña e instrucciones de comando adaptadas a infecciones específicas.
Las capacidades principales del spyware se centran en la exfiltración de datos, particularmente dirigido a la información relacionada con las criptomonedas almacenada en dispositivos infectados.
El malware raspa sistemáticamente las galerías de dispositivos para capturas de pantalla que pueden contener frases de semillas o información de la billetera, al tiempo que realiza la realización de huellas dactilares completas para recopilar detalles del sistema operativo, identificadores de dispositivos y datos de ubicación para la transmisión a los servidores de los atacantes.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
