Los actores de amenazas están utilizando páginas de phishing de adversario en el medio (AitM) para tomar el control de las cuentas de TikTok for Business en una nueva campaña, según un informe de Push Security.

Las cuentas comerciales asociadas con plataformas de redes sociales son un objetivo lucrativo, ya que los delincuentes pueden utilizarlas como arma para realizar publicidad y distribución de malware.

«Históricamente se ha abusado de TikTok para distribuir enlaces maliciosos e instrucciones de ingeniería social», Push Security dicho. «Esto incluye múltiples ladrones de información como Vidar, StealC y Aura Stealer entregados a través de instrucciones estilo ClickFix con videos generados por IA que actúan como guías de activación para Windows, Spotify y CapCut».

La campaña comienza engañando a las víctimas para que hagan clic en un enlace malicioso que las dirige a una página similar que se hace pasar por TikTok for Business o una página diseñada para hacerse pasar por Google Careers, junto con una opción para programar una llamada para analizar la oportunidad.

Vale la pena señalar que una versión anterior de esta campaña de phishing de credenciales fue marcado por Sublime Security en octubre de 2025, con correos electrónicos disfrazados de mensajes de divulgación utilizados como táctica de ingeniería social.

Independientemente del tipo de página servida, el objetivo final es el mismo: realizar una verificación de Cloudflare Turnstile para impedir que los bots y los escáneres automáticos analicen el contenido de la página y ofrecer una página de inicio de sesión de phishing AitM maliciosa diseñada para robar sus credenciales.

Las páginas de phishing están alojadas en los siguientes dominios:

• bienvenidos.carreratornillos[.]com
• bienvenido.careerstaffer[.]com
• bienvenido.careersworkflow[.]com
• bienvenido.careerstransform[.]com
• bienvenido.careersupskill[.]com
• bienvenido.carreraséxito[.]com
• bienvenido.careersstaffgrid[.]com
• bienvenido.progresoprofesional[.]com
• bienvenido.careersgrower[.]com
• bienvenido.careersengage[.]com
• bienvenidos.carreratornillos[.]com

El desarrollo se produce cuando se ha observado otra campaña de phishing que utiliza archivos adjuntos de gráficos vectoriales escalables (SVG) para entregar malware a objetivos ubicados en Venezuela.

Según un informe publicado por WatchGuard, los mensajes tienen archivos SVG con nombres de archivo en español, disfrazados de facturas, recibos o presupuestos.

«Cuando se abren estos SVG maliciosos, se comunican con una URL que descarga el artefacto malicioso», dijo la compañía. dicho. «Esta campaña utiliza ja.cat para acortar las URL de dominios legítimos que tienen una vulnerabilidad que permite redirecciones a cualquier URL, de modo que apunten al dominio original donde se descarga el malware».

El artefacto descargado es un malware escrito en Go que comparte superposiciones con un BianLian muestra de ransomware detallado por SecurityScorecard en enero de 2024.

«Esta campaña es un fuerte recordatorio de que incluso tipos de archivos aparentemente inofensivos como los SVG pueden usarse para generar amenazas graves», dijo WatchGuard. «En este caso, se utilizaron archivos adjuntos SVG maliciosos para iniciar una cadena de phishing que condujo a la entrega de malware asociado con BianLian actividad.»

de nubeflare informe inaugural de inteligencia sobre amenazas identifica una serie de debilidades en la tecnología de la que los atacantes han abusado e industrializado en «fábricas de ataques» profesionales, dejando a la mayoría de las organizaciones sin preparación para responder.

Los atacantes están convirtiendo los mismos servicios que las víctimas implementan y pagan en herramientas para lanzar ataques a gran escala. Los investigadores dicen que la barrera de entrada ha desaparecido, ya que las identidades y los tokens permiten a los atacantes convertir en armas las brechas en los sistemas basados ​​en la nube.

Los entornos de las organizaciones están plagados de posibles puntos de entrada. A medida que se difunde el modelo de todo como servicio, los sistemas se vuelven más interconectados y dependientes unos de otros, y muchos componentes de software son accesibles de maneras que los hacen casi tan accesibles para los atacantes como para los usuarios legítimos.

«Cuando una de esas interconexiones falla, de repente todo sale mal», dijo a CyberScoop Blake Darché, jefe de la unidad de inteligencia de amenazas de Cloudflare, Cloudforce One.

«Los datos son más accesibles que nunca, lo cual es bueno en muchos casos, pero los actores de amenazas están utilizando ese fácil acceso a esos datos como una forma de explotar a las personas, los sistemas y las organizaciones», añadió. «Será cada vez más difícil. Creo que algunas de las herramientas de inteligencia artificial lo empeorarán aún más».

Los atacantes han convertido «el tejido conectivo de la empresa moderna en su principal vulnerabilidad», escribieron los investigadores en el informe.

Cloudflare espera que los atacantes exploten las plataformas de forma rutinaria como táctica estándar este año. Los ciberdelincuentes, los estados-nación y otros utilizan habitualmente recursos de la nube pública para mezclarse con el tráfico legítimo, proporcionar infraestructura para las operaciones y lanzar señuelos de phishing basados ​​en enlaces en correos electrónicos que eluden o eluden protecciones ineficaces, escribieron los investigadores en el informe.

Las debilidades en las fisuras de los entornos de nube complejos son abundantes y trascendentes, lo que permite que los ataques basados ​​en identidad logren el mismo resultado que el malware complejo o los exploits de día cero.

Estos puntos ciegos hacen que los barómetros tradicionales de peligro (la sofisticación demostrada de los atacantes a través de un código elegante o novedosos días cero) sean efectivamente triviales, escribieron los investigadores en el informe.

«Si usted es una empresa que acaba de perder un millón de registros, no importa si el autor de la amenaza era sofisticado, poco sofisticado o un niño», dijo Darché.

Cloudflare sostiene que la industria debería replantear la forma en que categoriza el riesgo y adoptar un enfoque más pragmático: centrarse en la “eficacia”, medida por la relación entre el esfuerzo de un atacante y el resultado operativo que logra.

«Resulta que no es necesario ser sofisticado para tener éxito», dijo Darché. «En la industria, estamos demasiado centrados en la sofisticación de las amenazas y probablemente ya no se trate de eso, y con el tiempo se volverá menos el nivel de sofisticación».

La ola de ataques de gran alcance que se originó en Salesloft Drift el verano pasado, que afectó a Cloudflare y a más de 700 empresas adicionales a través de la conexión del agente de IA externo con Salesforce, ejemplificó los riesgos que acechan en lugares inesperados de la cadena de suministro.

Las relaciones de confianza de las que dependen estos servicios interconectados deben examinarse más a fondo, afirmó Darché. «Usted, como propietario de los datos, ni siquiera sabe adónde van a parar sus datos y su exposición es casi infinita».