Бизнес-аккаунты в социальных сетях давно стали лакомой добычей для злоумышленников. Через них удобно распространять вредоносные программы, запускать мошенническую рекламу, охватывать огромные аудитории. Новая фишинговая кампания, нацеленная на TikTok for Business, вывела эту охоту на новый уровень. Атакующие применяют технику adversary-in-the-middle (AitM), перехватывая учётные данные жертв в режиме реального времени, а для маскировки используют механизм проверки Cloudflare Turnstile, который не даёт автоматическим сканерам и защитным ботам добраться до фишинговой страницы.
Схема работает так. Жертву заманивают на поддельную страницу, имитирующую TikTok for Business или Google Careers. В случае Google Careers пользователю предлагают, например, запланировать звонок по поводу некоей «возможности». Ссылка выглядит правдоподобно, но ведёт на вредоносный домен. Перед тем как показать фишинговую форму входа, сайт прогоняет посетителя через проверку Cloudflare Turnstile. Это отсеивает ботов безопасности и автоматические анализаторы — они просто не видят вредоносного содержимого. А вот живой человек проходит проверку и попадает на страницу-ловушку с AitM-проксированием, где его логин и пароль тут же утекают к атакующим.
Компания Push Security опубликовала отчёт об этой кампании, а ранее, в октябре 2025 года, специалисты Sublime Security уже фиксировали её предыдущую итерацию. Та версия рассылала поддельные письма с предложениями сотрудничества, но использовала ту же инфраструктуру. Список вредоносных доменов впечатляет: careerscrews[.]com, welcome.careerstaffer[.]com, welcome.careersworkflow[.]com, welcome.careerstransform[.]com, welcome.careersupskill[.]com, welcome.careerssuccess[.]com, welcome.careersstaffgrid[.]com, welcome.careersprogress[.]com, welcome.careersgrower[.]com, welcome.careersengage[.]com, welcome.careerscrews[.]com. Обратите внимание на общий паттерн: почти все домены строятся вокруг слова «careers», что вполне вписывается в легенду с вакансиями и карьерными предложениями.
TikTok и без того успел отметиться в контексте киберугроз. Платформу ранее использовали для распространения вредоносных ссылок через так называемые ClickFix-инструкции — AI-сгенерированные видеоролики, замаскированные под руководства по активации Windows, Spotify и CapCut. Через такие ролики жертвы скачивали инфостилеры Vidar, StealC и Aura Stealer. То есть бизнес-аккаунты TikTok ценны злоумышленникам вдвойне: и как канал распространения малвари, и как точка доступа к рекламным кабинетам с бюджетами.
Параллельно с TikTok-кампанией исследователи из WatchGuard зафиксировали отдельную фишинговую операцию, направленную против пользователей в Венесуэле. Здесь вектор атаки другой — рассылка вложений в формате SVG (Scalable Vector Graphics). Файлы маскируются под счета, квитанции или бюджетные документы, причём имена файлов написаны на испанском языке, что повышает доверие у местных жертв.
Когда пользователь открывает SVG-файл, запускается цепочка загрузки. Файл обращается к URL-адресу, откуда скачивается вредоносный компонент. Атакующие используют сервис сокращения ссылок в сочетании с уязвимостями открытого перенаправления на легитимных доменах. Это позволяет прятать реальный адрес загрузки малвари за безобидно выглядящей ссылкой. Загружаемое вредоносное ПО написано на языке Go, и тут кроется любопытная деталь.
Специалисты SecurityScorecard ещё в январе 2024 года подробно описали образец шифровальщика BianLian, тоже написанный на Go. Вредонос из венесуэльской кампании имеет пересечения с тем самым образцом BianLian. Это не означает, что за обеими атаками стоит одна группировка, но общая кодовая база или заимствование инструментов — дело обычное в преступной экосистеме.
Обе кампании хорошо демонстрируют, как атакующие адаптируются к средствам защиты. В случае TikTok злоумышленники превратили легитимный антибот-механизм Cloudflare в собственный щит от анализа. В венесуэльской операции — спрятались за форматом SVG, который многие почтовые фильтры пропускают, потому что воспринимают его как безобидное изображение. Оба подхода объединяет одно: ставка на то, что защитные системы не дотянутся до вредоносного контента.
Сам TikTok и Google фигурируют здесь как имперсонируемые бренды, но их инфраструктура напрямую не скомпрометирована. Проблема в социальной инженерии — людям показывают привычный интерфейс, и они вводят свои пароли. Технология AitM делает бесполезной даже двухфакторную аутентификацию на основе одноразовых кодов, потому что атакующий перехватывает сессию целиком, в реальном времени проксируя трафик между жертвой и настоящим сервисом.
Для тех, кто управляет бизнес-аккаунтами в соцсетях, всё это — серьёзный сигнал проверить, какие методы аутентификации используются и насколько сотрудники готовы к фишингу такого уровня. Простые одноразовые коды уже не спасают. Аппаратные ключи FIDO2, привязка сессий к устройству, мониторинг аномальных входов — вот то, что хотя бы затруднит жизнь атакующим. А поддельные письма с «карьерными предложениями» от Google стоит перепроверять через официальные каналы, а не по ссылкам из письма.
Изображение носит иллюстративный характер
Схема работает так. Жертву заманивают на поддельную страницу, имитирующую TikTok for Business или Google Careers. В случае Google Careers пользователю предлагают, например, запланировать звонок по поводу некоей «возможности». Ссылка выглядит правдоподобно, но ведёт на вредоносный домен. Перед тем как показать фишинговую форму входа, сайт прогоняет посетителя через проверку Cloudflare Turnstile. Это отсеивает ботов безопасности и автоматические анализаторы — они просто не видят вредоносного содержимого. А вот живой человек проходит проверку и попадает на страницу-ловушку с AitM-проксированием, где его логин и пароль тут же утекают к атакующим.
Компания Push Security опубликовала отчёт об этой кампании, а ранее, в октябре 2025 года, специалисты Sublime Security уже фиксировали её предыдущую итерацию. Та версия рассылала поддельные письма с предложениями сотрудничества, но использовала ту же инфраструктуру. Список вредоносных доменов впечатляет: careerscrews[.]com, welcome.careerstaffer[.]com, welcome.careersworkflow[.]com, welcome.careerstransform[.]com, welcome.careersupskill[.]com, welcome.careerssuccess[.]com, welcome.careersstaffgrid[.]com, welcome.careersprogress[.]com, welcome.careersgrower[.]com, welcome.careersengage[.]com, welcome.careerscrews[.]com. Обратите внимание на общий паттерн: почти все домены строятся вокруг слова «careers», что вполне вписывается в легенду с вакансиями и карьерными предложениями.
TikTok и без того успел отметиться в контексте киберугроз. Платформу ранее использовали для распространения вредоносных ссылок через так называемые ClickFix-инструкции — AI-сгенерированные видеоролики, замаскированные под руководства по активации Windows, Spotify и CapCut. Через такие ролики жертвы скачивали инфостилеры Vidar, StealC и Aura Stealer. То есть бизнес-аккаунты TikTok ценны злоумышленникам вдвойне: и как канал распространения малвари, и как точка доступа к рекламным кабинетам с бюджетами.
Параллельно с TikTok-кампанией исследователи из WatchGuard зафиксировали отдельную фишинговую операцию, направленную против пользователей в Венесуэле. Здесь вектор атаки другой — рассылка вложений в формате SVG (Scalable Vector Graphics). Файлы маскируются под счета, квитанции или бюджетные документы, причём имена файлов написаны на испанском языке, что повышает доверие у местных жертв.
Когда пользователь открывает SVG-файл, запускается цепочка загрузки. Файл обращается к URL-адресу, откуда скачивается вредоносный компонент. Атакующие используют сервис сокращения ссылок в сочетании с уязвимостями открытого перенаправления на легитимных доменах. Это позволяет прятать реальный адрес загрузки малвари за безобидно выглядящей ссылкой. Загружаемое вредоносное ПО написано на языке Go, и тут кроется любопытная деталь.
Специалисты SecurityScorecard ещё в январе 2024 года подробно описали образец шифровальщика BianLian, тоже написанный на Go. Вредонос из венесуэльской кампании имеет пересечения с тем самым образцом BianLian. Это не означает, что за обеими атаками стоит одна группировка, но общая кодовая база или заимствование инструментов — дело обычное в преступной экосистеме.
Обе кампании хорошо демонстрируют, как атакующие адаптируются к средствам защиты. В случае TikTok злоумышленники превратили легитимный антибот-механизм Cloudflare в собственный щит от анализа. В венесуэльской операции — спрятались за форматом SVG, который многие почтовые фильтры пропускают, потому что воспринимают его как безобидное изображение. Оба подхода объединяет одно: ставка на то, что защитные системы не дотянутся до вредоносного контента.
Сам TikTok и Google фигурируют здесь как имперсонируемые бренды, но их инфраструктура напрямую не скомпрометирована. Проблема в социальной инженерии — людям показывают привычный интерфейс, и они вводят свои пароли. Технология AitM делает бесполезной даже двухфакторную аутентификацию на основе одноразовых кодов, потому что атакующий перехватывает сессию целиком, в реальном времени проксируя трафик между жертвой и настоящим сервисом.
Для тех, кто управляет бизнес-аккаунтами в соцсетях, всё это — серьёзный сигнал проверить, какие методы аутентификации используются и насколько сотрудники готовы к фишингу такого уровня. Простые одноразовые коды уже не спасают. Аппаратные ключи FIDO2, привязка сессий к устройству, мониторинг аномальных входов — вот то, что хотя бы затруднит жизнь атакующим. А поддельные письма с «карьерными предложениями» от Google стоит перепроверять через официальные каналы, а не по ссылкам из письма.
