AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Campaña ClickTok: tiendas falsas de TikTok y spyware SparkKitty ponen en jaque la seguridad de criptoactivos

admin

#### Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de la proliferación de la campaña ClickTok, una operación maliciosa que combina técnicas avanzadas de ingeniería social y ataques multivectoriales para comprometer dispositivos y vaciar carteras de criptomonedas. Según el último informe de CTM360, los actores de amenaza están utilizando tiendas fraudulentas de TikTok y el spyware SparkKitty, distribuido mediante aplicaciones troyanizadas y páginas de phishing, para engañar a usuarios y profesionales. Además, la campaña incorpora tácticas basadas en inteligencia artificial para maximizar la tasa de éxito de sus ataques y evadir la detección tradicional.

#### Contexto del Incidente o Vulnerabilidad

La campaña ClickTok se ha desarrollado en un contexto de auge de las aplicaciones móviles falsas y el interés creciente en la compraventa de criptomonedas a través de redes sociales. Los atacantes aprovechan la popularidad de TikTok creando tiendas falsas que simulan promociones exclusivas o sorteos de NFT y tokens. Este entorno de confianza facilita la obtención de credenciales y la instalación de apps infectadas en dispositivos móviles, que posteriormente sirven de vector para la exfiltración de información sensible y el vaciado de wallets.

SparkKitty, el spyware protagonista de la campaña, destaca por su capacidad de persistencia y su modularidad. Su distribución se realiza principalmente a través de aplicaciones troyanizadas que se presentan como herramientas legítimas para TikTok o wallets de criptomonedas, así como mediante campañas de phishing dirigidas a usuarios y empleados de empresas tecnológicas.

#### Detalles Técnicos

**CVE y vectores de ataque**
Aunque hasta el momento no se ha asociado un CVE específico a SparkKitty, los investigadores han detectado variantes que explotan vulnerabilidades conocidas en sistemas Android (por ejemplo, CVE-2023-20963 y CVE-2023-21608) para escalar privilegios y eludir los mecanismos de sandboxing. Además, se han documentado campañas de phishing que emplean kits de ataque personalizados y servicios de generación de páginas maliciosas mediante IA, capaces de clonar interfaces de TikTok y exchanges de criptomonedas con un alto grado de fidelidad.

**TTP según MITRE ATT&CK**
La campaña ClickTok y el spyware SparkKitty han sido vinculados con las siguientes técnicas del framework MITRE ATT&CK:

– **T1566 (Phishing):** Envío de enlaces fraudulentos por correo electrónico, SMS y mensajes directos en redes sociales.
– **T1189 (Drive-by Compromise):** Infección automática al visitar páginas web comprometidas.
– **T1059 (Command and Scripting Interpreter):** Uso de scripts para descargar y ejecutar payloads secundarios.
– **T1071 (Application Layer Protocol):** Exfiltración de datos a través de canales cifrados HTTPs o Telegram.
– **T1027 (Obfuscated Files or Information):** Ofuscación de código y payloads mediante packers y cifrado simétrico.
– **T1547 (Boot or Logon Autostart Execution):** Persistencia a través de la manipulación de entradas de inicio en Android y Windows.

**IoC (Indicadores de Compromiso) relevantes**
– Dominios falsos: tiktok-shop[.]vip, tiktok-nft[.]store.
– Hashes MD5/SHA256 de payloads identificados.
– Cadenas de User-Agent y tráfico anómalo hacia IPs asociadas a VPS en Europa del Este y Asia Central.

**Herramientas y frameworks empleados**
Se ha constatado el uso de Metasploit para el despliegue de reverse shells y Cobalt Strike para la gestión de C2 (Command and Control), además de módulos personalizados en Python y Node.js para la automatización de campañas de phishing.

#### Impacto y Riesgos

El impacto de la campaña ClickTok es especialmente relevante para usuarios de criptomonedas, influencers y empresas del sector fintech. Según estimaciones de CTM360, más de 7.500 wallets se han visto comprometidas, con pérdidas económicas superiores a los 2,2 millones de dólares (cifras auditadas hasta mayo de 2024). La sofisticación de SparkKitty permite el robo no solo de claves privadas, sino también de tokens de sesión, credenciales de autenticación multifactor y datos biométricos, lo que incrementa el riesgo de ataques posteriores y movimientos laterales en entornos corporativos.

#### Medidas de Mitigación y Recomendaciones

– **Actualización de dispositivos y aplicaciones:** Mantener siempre actualizado el sistema operativo y las aplicaciones instaladas, priorizando parches críticos de seguridad.
– **Monitorización de IoC y tráfico anómalo:** Implementar reglas de detección en SIEM y EDR para los IoC mencionados, así como alertas para patrones de tráfico saliente sospechoso.
– **Restricción de instalación de apps:** Limitar la instalación de aplicaciones a repositorios oficiales (Google Play, App Store) mediante políticas de MDM (Mobile Device Management).
– **Concienciación y formación:** Realizar campañas internas sobre ingeniería social y phishing en todos los niveles de la organización.
– **Revisión de permisos y autenticación avanzada:** Revisar periódicamente los permisos concedidos a aplicaciones y reforzar el uso de autenticación multifactor.

#### Opinión de Expertos

Especialistas en ciberseguridad como Javier Candau, responsable del CCN-CERT, destacan que “la integración de IA en campañas de phishing supone un salto cualitativo en la personalización y evasión, obligando a las empresas a adoptar soluciones de defensa adaptativa, basadas en inteligencia de amenazas en tiempo real”. Por su parte, analistas de Kaspersky y Group-IB señalan la creciente profesionalización de los grupos criminales tras ClickTok, que operan siguiendo un modelo de cibercrimen como servicio (CaaS).

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas bajo el marco regulatorio del RGPD y la inminente directiva NIS2, la exposición a campañas como ClickTok puede traducirse en sanciones económicas, pérdidas reputacionales y la obligación de notificar brechas en menos de 72 horas. Los usuarios, por su parte, deben extremar las precauciones ante mensajes y aplicaciones no verificadas, así como emplear carteras frías (cold wallets) para almacenar grandes volúmenes de criptoactivos.

#### Conclusiones

La campaña ClickTok es un claro exponente de la evolución del cibercrimen, combinando ingeniería social avanzada, malware de nueva generación y explotación de la confianza en plataformas populares como TikTok. La coordinación entre equipos de seguridad, la actualización constante de sistemas y una vigilancia activa sobre nuevas tácticas y herramientas serán esenciales para mitigar el impacto de estas amenazas en el ecosistema digital.

(Fuente: www.bleepingcomputer.com)