Push Security ordnet die aktuelle Kampagne einer bereits im Vorjahr dokumentierten Aktivität zu, die seinerzeit auf Konten von Google Ad Manager abzielte. Warum gerade TikTok-for-Business-Konten ins Visier geraten, erklärt das Unternehmen mit deren Missbrauchspotenzial: Sie lassen sich für Malvertising-Kampagnen, Anzeigenbetrug und die Verbreitung schädlicher Inhalte einsetzen. TikTok diente Angreifern bereits früher als Verbreitungsweg – etwa für Schadsoftware zum Datendiebstahl über manipulierte Videos und für Kryptowährungsbetrug über gefälschte Werbeaktionen.

Nach dem Bericht, der BleepingComputer vorab vorlag, werden die Opfer auf Cloudflare-gehostete Phishing-Seiten gelockt. Diese wurden am 24. März über den Registrar NiceNIC registriert, der laut Sicherheitsforschern häufig im Zusammenhang mit cyberkrimineller Nutzung genannt wird. Den ursprünglichen Verbreitungsweg konnte Push Security nicht eindeutig bestimmen, vermutet aber ein ähnliches Vorgehen, wie es Sublime Security beschrieben hat.

Der erste Link führt über eine legitime Google-Storage-URL, blockiert anschließend Bots mittels einer Cloudflare-Turnstile-Prüfung und leitet die Besucher danach auf die schädlichen Seiten weiter. Die verwendeten Domains tragen ähnliche Namen und liegen allesamt im selben Google-Storage-Bucket.

Die gefälschten Seiten geben sich als „Schedule a Call"-Seiten von TikTok for Business und Google Careers aus. Besucher sollen zunächst in einem Formular einige Angaben machen, um zu bestätigen, dass sie eine geschäftliche E-Mail-Adresse nutzen. Im nächsten Schritt erscheint eine gefälschte Anmeldeseite, die als Reverse Proxy konzipiert ist: Sie fängt Zugangsdaten und Sitzungs-Cookies ab und leitet sie an die Angreifer weiter.

Weil diese Seite als Zwischenstation zwischen dem echten Nutzer und dem Dienst fungiert, können die Täter Konten selbst dann übernehmen, wenn die Zwei-Faktor-Authentifizierung aktiviert ist. Push Security weist zudem darauf hin, dass Inhaber von Geschäftskonten sich oft über den Single-Sign-on-Dienst von Google bei TikTok anmelden. Damit, so das Unternehmen, werde bei jedem, der Google zur Anmeldung bei seinem TikTok-Konto nutzt, in einem Zug beide zur Anzeigenschaltung verwendeten Konten kompromittiert.

Nutzern rät Push Security zu äußerster Vorsicht bei verdächtigen Einladungen und Stellenangeboten; Links von unbekannten Kontakten sollten grundsätzlich nicht angeklickt werden. Vor der Eingabe von Zugangsdaten sei stets die Domain zu prüfen, und wertvolle Konten ließen sich mit Passkeys schützen.