En una nueva ofensiva digital a escala global, investigadores de CTM360 han identificado una sofisticada campaña maliciosa bautizada como “ClickTok”, que tiene como objetivo usuarios de TikTok Shop, tanto compradores como afiliados del programa de ventas. El ataque combina tácticas de phishing, ingeniería social apoyada en IA y distribución de malware móvil, en una operación bien financiada y orquestada.

A diferencia de campañas convencionales, ClickTok destaca por su integración de técnicas modernas: publicidad engañosa, videos generados por inteligencia artificial, y una réplica muy convincente de la plataforma oficial de TikTok Shop. Todo ello con un propósito claro: robar credenciales, secuestrar sesiones y defraudar a los usuarios mediante criptomonedas.

¿Cómo funciona la campaña?

El ataque inicia con la exposición de la víctima a anuncios falsos en redes sociales como Facebook e incluso en la misma TikTok. Estos anuncios simulan promociones oficiales con grandes descuentos o recompensas por participar como afiliado. Los videos que los acompañan están generados por IA, lo que añade credibilidad visual al contenido.

Al hacer clic, el usuario es redirigido a sitios web falsos con dominios que imitan a TikTok, como tiktokshop[.]top o tik-tok.shop[.]icu. CTM360 identificó más de 15,000 dominios de este tipo, lo cual revela una infraestructura extensa y automatizada.

Una vez dentro del sitio falso, el usuario puede ser dirigido a:

  • Una página de inicio de sesión clonada que roba sus credenciales.
  • Una descarga de una aplicación móvil troyanizada disfrazada como “TikTok Shop”, que contiene un malware conocido como SparkKitty.

Este malware es particularmente peligroso. Opera tanto en Android como en iOS, y es capaz de realizar device fingerprinting, capturar pantallas y hasta utilizar OCR para escanear imágenes en busca de frases semilla de billeteras de criptomonedas. La app también intenta forzar al usuario a iniciar sesión con Google, lo que permite a los atacantes robar tokens de sesión OAuth y acceder sin necesidad de contraseñas ni códigos de verificación.

¿Quiénes están en riesgo?

Los principales blancos son:

  • Compradores que buscan ofertas en TikTok Shop.
  • Afiliados que promocionan productos a cambio de comisiones.
  • Usuarios que hacen pagos con criptomonedas o manejan billeteras en sus dispositivos.
  • Cuentas con permisos de administrador o que gestionan campañas de anuncios.

Se observa un patrón claro de abuso de confianza en marcas e interfaces familiares, donde los atacantes replican visual y funcionalmente la experiencia legítima de TikTok Shop.

Consecuencias reales

Las implicancias van más allá del robo de credenciales. Muchas víctimas han sido engañadas para hacer depósitos en criptomonedas en tiendas falsas, perdiendo fondos irrecuperables. En el caso de afiliados, algunos fueron inducidos a recargar “billeteras virtuales” dentro del sitio falso, bajo la promesa de comisiones que jamás se pagarían.

Además, el acceso a cuentas comprometidas permite a los atacantes redirigir ventas legítimas, robar información personal y comercial, e incluso ejecutar fraudes publicitarios.

¿Qué se recomienda hacer?

Para usuarios generales:

  • Nunca descargar aplicaciones fuera de las tiendas oficiales.
  • Desconfiar de descuentos excesivos o promociones poco creíbles.
  • Verificar siempre que la URL sea exactamente la esperada (tiktok.com).
  • Evitar hacer pagos en cripto en sitios no verificados.
  • Usar autenticación multifactor en todas las cuentas relacionadas.

Para equipos de seguridad:

  • Implementar bloqueo de TLDs sospechosos (.top, .shop, .icu) en proxys y firewalls.
  • Auditar dispositivos móviles que gestionen cuentas comerciales.
  • Monitorizar accesos OAuth anómalos y revocar tokens comprometidos.
  • Añadir firmas relacionadas con SparkKitty a las soluciones de detección móvil.
  • Lanzar campañas de concientización específicas sobre este ataque en departamentos de marketing o e-commerce.

Conexión con otras campañas

ClickTok se alinea con una tendencia creciente de ataques basados en contenido generado por IA y aprovechamiento de plataformas legítimas como canal de infección. Otras campañas recientes como Meta Mirage (dirigida a cuentas de Meta Business Suite) o CyberHeist Phish (que usaba Google Ads para clonar portales bancarios) comparten un patrón similar: abusar de la confianza en marcas digitales para explotar activos de alto valor.
Este tipo de amenazas evidencia una profesionalización creciente de grupos cibercriminales, que ahora no solo buscan robar datos, sino secuestrar modelos de negocio completos mediante fraude, suplantación y manipulación de interfaces.

ClickTok no es simplemente un caso más de phishing. Representa una evolución del ciberfraude donde la ingeniería social, la IA y el malware convergen en una misma cadena de ataque, capaz de evadir mecanismos tradicionales de seguridad y explotar vulnerabilidades humanas.
Las organizaciones que trabajan con plataformas sociales, publicidad digital o comercio electrónico deben tomar este incidente como una advertencia seria: los atacantes están un paso adelante, imitando el ecosistema legítimo con una precisión inquietante.

Fuente: thehackernews[.]com

You May Also Like

Los piratas informáticos aprovecharon la vulnerabilidad de ColdFusion para violar los servidores de la agencia federal

HKN FEED

Microsoft refuerza RDP contra ataques de fuerza bruta

wpadmin001

Qilin encabeza el repunte de ataques de ransomware en abril de 2025, con 45 violaciones atribuidas al uso del malware NETXLOADER.

HKN FEED