Une vaste cyberattaque exploitant de faux sites TikTok Shop compromet la sécurité des utilisateurs du monde entier. Les cybercriminels utilisent plus de 15 000 faux domaines TikTok pour diffuser des applications malveillantes, voler les identifiants et siphonner les portefeuilles de cryptomonnaies via des campagnes dopées à l’intelligence artificielle. Cette opération complexe, baptisée ClickTok, s’appuie sur de faux profils, des vidéos générées par IA et des campagnes de phishing diffusées sur les réseaux sociaux comme TikTok et Facebook. Cet article détaille le fonctionnement de cette fraude sophistiquée, ses objectifs, et comment s’en protéger efficacement avec les bons outils de cybersécurité.
Une campagne malveillante mondiale nommée ClickTok
Des milliers de faux sites TikTok Shop identifiés
Les chercheurs en cybersécurité de CTM360 ont révélé que pas moins de 15 000 faux sites TikTok Shop ont été créés pour piéger les utilisateurs. Ces domaines utilisent des extensions populaires comme .top, .shop ou .icu, renforçant l’illusion d’un service officiel. Ces pages frauduleuses redirigent vers des interfaces de connexion phishing ou diffusent une application Android/iOS infectée par un malware appelé SparkKitty.
Utilisation de l’intelligence artificielle et publicité sur les réseaux sociaux
Pour diffuser la menace à grande échelle, les cyberattaquants utilisent des vidéos générées par intelligence artificielle qui imitent des influenceurs ou vendeurs affiliés TikTok. Ces contenus sont promus sur Facebook et TikTok grâce à des publicités payantes accompagnées de fausses offres alléchantes et des réductions importantes. L’objectif est de pousser les victimes à télécharger l’application infectée ou à renseigner leurs informations sensibles.
Une triple stratégie de fraude autour des cryptomonnaies et des identifiants
Cryptomonnaies exigées pour finaliser les achats fictifs
Parmi les divers stratagèmes, certains faux sites TikTok Shop affichent de faux produits à prix cassés, incitant les utilisateurs à payer en cryptomonnaie. Une fois la transaction réalisée, aucune livraison n’a lieu et les fonds sont irrémédiablement perdus. CTM360 a identifié plus de 5 000 URL spécifiquement conçues pour propager ces applications déguisées en TikTok Shop légitimes.
Vol des identifiants et manipulation des connexions OAuth
L’application malveillante incite les utilisateurs à se connecter avec leur adresse e-mail, puis échoue intentionnellement pour les pousser à utiliser la connexion Google OAuth. Ce subterfuge permet aux pirates de dérober le jeton de session et d’accéder sans autorisation à des comptes TikTok. Une fausse interface TiKTok Shop s’affiche ensuite pour capturer d’autres informations confidentielles.
Le rôle du malware SparkKitty dans cette offensive
Collecte de données via reconnaissance optique
Le malware SparkKitty intégré dans l’application pirate va encore plus loin : il utilise la technique OCR (reconnaissance optique de caractères) pour analyser les captures d’écran présentes dans la galerie du mobile. Son objectif est de détecter et exfiltrer des phrases secrètes servant à récupérer l’accès à des portefeuilles cryptographiques.
Fingerprinting et exfiltration de données sur iOS et Android
SparkKitty n’est pas limité à une seule plateforme. Il est conçu pour fonctionner sur Android et iOS, effectuant un fingerprinting de l’appareil (analyse des caractéristiques uniques) afin d’adapter ses manœuvres. Ces données confidentielles sont ensuite envoyées vers des serveurs contrôlés par les attaquants, renforçant ainsi leur capacité d’exploitation.
Diversification des campagnes phishing en parallèle
Google Ads exploitées dans une autre campagne surnommée CyberHeist Phish
En plus de ClickTok, CTM360 a découvert une autre campagne sophistiquée appelée CyberHeist Phish utilisant des liens sponsorisés Google couplés à des pages imitant des portails bancaires d’entreprise. Ce système permet de voler les identifiants bancaires et de collecter les doubles authentifications en temps réel grâce à l’interaction directe avec les victimes.
Meta Mirage cible les comptes professionnels
Une autre offensive ciblée, Meta Mirage, s’en prend spécifiquement aux utilisateurs de Meta Business Suite. Cette attaque repose sur des faux e-mails de politique de violation, de limitation de compte publicitaire et de fausse vérification. Les pages de collecte d’informations sont hébergées sur des services légitimes comme GitHub Pages ou Firebase, rendant leur détection plus complexe.
Prévenir les attaques grâce à la formation et à la détection
Anticiper avec une formation en cybersécurité offensive
Face à la complexité des attaques actuelles, renforcer ses compétences en hacking éthique devient essentiel pour mieux détecter et prévenir les comportements suspects en ligne. Pour ceux qui souhaitent apprendre à hacker et comprendre les mécaniques utilisées par les cybercriminels, notre livre pour hacker offre une introduction concrète au piratage éthique, au reverse-engineering et à la protection des appareils connectés.
Solutions de filtrage, veille et protection avec CyberCare
Notre équipe accompagne également les entreprises dans la mise en place de systèmes de détection de phishing, de protection des identifiants et de surveillance des noms de domaines frauduleux. Ces mesures permettent de prévenir les pertes financières liées aux fausses interfaces et aux campagnes comme ClickTok.
Face à la montée des campagnes d’attaques par hameçonnage ciblé, CyberCare propose des solutions de protection proactive pour garantir la sécurité de vos données sensibles et de vos actifs numériques.
