Los actores de amenazas están utilizando páginas de phishing de adversario en el medio (AitM) para tomar el control de las cuentas de TikTok for Business en una nueva campaña, según un informe de Push Security.
Las cuentas comerciales asociadas con plataformas de redes sociales son un objetivo lucrativo, ya que los delincuentes pueden utilizarlas como arma para realizar publicidad y distribución de malware.
«Históricamente se ha abusado de TikTok para distribuir enlaces maliciosos e instrucciones de ingeniería social», dijo Push Security. «Esto incluye múltiples ladrones de información como Vidar, StealC y Aura Stealer entregados a través de instrucciones estilo ClickFix con videos generados por IA que actúan como guías de activación para Windows, Spotify y CapCut».
La campaña comienza engañando a las víctimas para que hagan clic en un enlace malicioso que las dirige a una página similar que se hace pasar por TikTok for Business o una página diseñada para hacerse pasar por Google Careers, junto con una opción para programar una llamada para analizar la oportunidad.
Vale la pena señalar que Sublime Security señaló una versión anterior de esta campaña de phishing de credenciales en octubre de 2025, con correos electrónicos disfrazados de mensajes de divulgación utilizados como táctica de ingeniería social.
Independientemente del tipo de página servida, el objetivo final es el mismo: realizar una verificación de Cloudflare Turnstile para impedir que los bots y los escáneres automáticos analicen el contenido de la página y ofrecer una página de inicio de sesión de phishing AitM maliciosa diseñada para robar sus credenciales.
Las páginas de phishing están alojadas en los siguientes dominios:
- bienvenido.careerscrews(.)com
- bienvenido.careerstaffer(.)com
- bienvenido.careersworkflow(.)com
- bienvenido.careerstransform(.)com
- bienvenido.careersupskill(.)com
- bienvenido.carreraséxito(.)com
- bienvenido.careersstaffgrid(.)com
- bienvenido.progresoprofesional(.)com
- bienvenido.careersgrower(.)com
- bienvenido.careersengage(.)com
- bienvenido.careerscrews(.)com
El desarrollo se produce cuando se ha observado otra campaña de phishing que utiliza archivos adjuntos de gráficos vectoriales escalables (SVG) para entregar malware a objetivos ubicados en Venezuela.
Según un informe publicado por WatchGuard, los mensajes tienen archivos SVG con nombres de archivo en español, disfrazados de facturas, recibos o presupuestos.
«Cuando se abren estos SVG maliciosos, se comunican con una URL que descarga el artefacto malicioso», dijo la compañía. «Esta campaña utiliza ja.cat para acortar las URL de dominios legítimos que tienen una vulnerabilidad que permite redirecciones a cualquier URL, de modo que apunten al dominio original donde se descarga el malware».
El artefacto descargado es un malware escrito en Go que se superpone con una muestra de ransomware BianLian detallada por SecurityScorecard en enero de 2024.
«Esta campaña es un fuerte recordatorio de que incluso tipos de archivos aparentemente inofensivos como los SVG pueden usarse para generar amenazas graves», dijo WatchGuard. «En este caso, se utilizaron archivos adjuntos SVG maliciosos para iniciar una cadena de phishing que condujo a la entrega de malware asociado con la actividad de BianLian».