Cibercriminosos estão utilizando páginas de phishing do tipo adversário no meio (AitM) para comprometer contas empresariais do TikTok for Business. Em muitos casos, contas do Google estavam vinculadas a elas.
O alerta é da Push Security, que identificou a campanha ativa e mapeou a infraestrutura maliciosa usada nos ataques.
smart_display
Nossos vídeos em destaque
Como o ataque funciona
A vítima recebe um link malicioso que a leva a uma de duas páginas: uma réplica do portal TikTok for Business ou uma página falsa do Google Careers, com formulário para “agendar uma call”.
Em ambos os casos, antes de qualquer conteúdo ser exibido, a página realiza uma verificação do Cloudflare Turnstile. Esse é um mecanismo que bloqueia scanners automáticos de segurança e garante que só usuários reais avancem.
Após preencher um formulário básico, a vítima é redirecionada para uma página de login que funciona como fachada de um kit de phishing AitM com proxy reverso. Tudo que o usuário digita, incluindo credenciais e tokens de sessão, é interceptado em tempo real pelos atacantes.
)
O link inicial passa antes por um redirecionamento silencioso via Google Storage, o que ajuda a contornar filtros de e-mail e proxies de segurança.
O efeito dominó via SSO
A maioria dos usuários comerciais do TikTok opta por fazer login com o Google. Isso significa que, quando o phishing tem sucesso, o atacante não compromete apenas a conta do TikTok, ele captura também a sessão do Google. A partir do login, o criminoso pode acessar qualquer serviço via SSO. Isso inclui Google Ads, Google Drive e Gmail.
)
Esse encadeamento é parecido com o vetor explorado em campanhas como a onda de phishing do grupo Scattered Lapsus$ e ataques recentes com device code phishing.
A infraestrutura da campanha
Os pesquisadores identificaram 11 domínios de phishing registrados no dia 24 de março, todos criados num intervalo de 9 segundos. Todos estão hospedados no Cloudflare e foram registrados pela Nicenic International Group, registradora frequentemente associada ao registro em massa de domínios maliciosos. Os domínios seguem o padrão welcome.careers*[.]com:
- welcome.careerscrews[.]com
- welcome.careerstaffer[.]com
- welcome.careersworkflow[.]com
- welcome.careerstransform[.]com
- welcome.careersupskill[.]com
- welcome.careerssuccess[.]com
- welcome.careersstaffgrid[.]com
- welcome.careersprogress[.]com
- welcome.careersgrower[.]com
- welcome.careersengage[.]com
A Push Security alertou que a lista tende a crescer conforme a campanha ganha escala.
Uma versão anterior do ataque foi identificada pela Sublime Security em outubro de 2025, com e-mails de “outreach” como isca inicial, padrão que provavelmente se repete aqui.
Por que o TikTok for Business?
Contas empresariais em plataformas de mídia social são um alvo lucrativo para agentes maliciosos. Isso porque elas permitem veicular anúncios, alcançar audiências massivas e distribuir malware com aparência legítima.
)
O TikTok já foi usado no passado para disseminar infostealers como Vidar, StealC e Aura Stealer. As campanhas usavam vídeos gerados por IA que simulavam tutoriais de ativação do Windows, Spotify e CapCut. Nesses vídeos, os criminosos instruíam os usuários a executar comandos no PowerShell. Um único vídeo chegou a 500 mil visualizações.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
