Actores de amenazas están atacando activamente cuentas de TikTok for Business en una sofisticada campaña de phishing diseñada para eludir bots de seguridad y recolectar credenciales. Estas cuentas son de gran valor debido a su potencial de abuso en campañas de malvertising, fraude publicitario y distribución de contenido malicioso. **Push Security**, una empresa de detección y respuesta a amenazas en navegadores, ha vinculado esta campaña a actividades similares observadas el año pasado, que apuntaban a cuentas de Google Ad Manager. ### Tácticas de Phishing Las víctimas son atraídas a páginas de phishing alojadas en **Cloudflare**, registradas el 24 de marzo a través de NiceNIC, un registrador a menudo asociado con actividades de ciberdelincuencia. El mecanismo de entrega inicial aún no está claro, pero **Push Security** sospecha un enfoque similar al reportado por **Sublime Security**, que involucra suplantación de identidad. El flujo del ataque incluye: 1. Un enlace inicial redirige a través de una URL legítima de **Google** Storage. 2. Se utiliza una verificación **Cloudflare** Turnstile para bloquear el análisis de bots. 3. Redirección a páginas de phishing maliciosas. Los dominios utilizados comparten nombres similares y todos están alojados en el mismo bucket de **Google** Storage. Ejemplos incluyen: * welcome.careerscrews[.]com * welcome.careerstaffer[.]com * welcome.careersworkflow[.]com * welcome.careerstransform[.]com * welcome.careersupskill[.]com * welcome.careerssuccess[.]com * welcome.careersstaffgrid[.]com * welcome.careersprogress[.]com * welcome.careersgrower[.]com * welcome.careersengage[.]com * welcome.careerscrews[.]com ### Recolección de Credenciales y Bypass de 2FA Las páginas maliciosas suplantan las páginas de "Programar una llamada" de **TikTok** for Business y **Google** Careers. Se solicita a los visitantes que ingresen información básica para validar su dirección de correo electrónico comercial.  *Recopilación de información básica en un primer paso de validación* *Fuente: Push Security* Después de este paso inicial, las víctimas se encuentran con una página de inicio de sesión falsa, que funciona como un proxy inverso. Este proxy captura credenciales y cookies de sesión, exfiltrándolas al atacante. Críticamente, este método permite a los atacantes secuestrar cuentas incluso cuando la autenticación de dos factores (2FA) está habilitada.  *Las páginas de phishing con temática de TikTok (arriba) y Google (abajo)* *Fuente: Push Security* ### Compromiso Dual de Cuentas **Push Security** destaca que muchos titulares de cuentas comerciales inician sesión en **TikTok** utilizando el inicio de sesión único (SSO) de **Google**. Esto significa que comprometer la cuenta de **Google** a través del ataque de phishing puede comprometer simultáneamente la cuenta de **TikTok** asociada, permitiendo a los atacantes distribuir anuncios a través de ambas plataformas. ### Recomendaciones Los usuarios deben tener extrema precaución con las invitaciones y ofertas de empleo no solicitadas. Siempre verifique el dominio antes de ingresar credenciales y considere usar passkeys para una seguridad de cuenta mejorada.