超万个恶意 TikTok 电商域名窃取用户凭证并传播恶意软件

网络安全研究人员发现一个代号为"ClickTok"的超万传播复杂网络犯罪活动 ，该活动已成为针对全球TikTok Shop用户的个恶最大规模威胁之一。攻击者建立了超过10,商域000个恶意域名
，专门用于窃取用户凭证并传播高级间谍软件 。名窃

电商攻击手段升级

此次攻击活动标志着针对电子商务的取用网络攻击显著升级 ，攻击者将传统钓鱼技术与前沿恶意软件分发手段相结合，户凭利用TikTok应用内购物平台日益增长的证并流行度实施攻击。"ClickTok"背后的恶意威胁行为者制定了双管齐下的建站模板攻击策略，同时针对普通购物者和TikTok联盟计划参与者。软件

攻击者利用仿冒的超万传播TikTok Shop合法界面欺骗用户 ，使其误以为正在与官方平台功能交互。个恶这些欺诈网站不仅简单模仿TikTok Shop，商域还包括伪造的名窃TikTok Wholesale和TikTok Mall版本，构建了一个旨在最大化受害者参与的取用恶意店铺生态系统。

全球性攻击活动

CTM360分析师于2025年8月发现了这一攻击活动 ，户凭揭示了其利用用户对TikTok品牌的免费模板信任以及联盟营销计划财务激励的复杂运作机制。研究人员发现，威胁行为者通过5,000多个不同的应用下载站点分发恶意负载，使用嵌入式下载链接和二维码促进特洛伊木马化应用程序的广泛传播 。

攻击方法包括使用.top 、.shop和.icu等低成本顶级域名创建相似域名 ，这些域名具有双重用途：托管用于凭证窃取的钓鱼页面和分发恶意应用程序。这些域名通常托管在共享或免费托管服务上 ，高防服务器对攻击者而言成本效益高，对防御者而言则难以全面追踪。该活动的全球影响范围远超TikTok Shop官方可用的17个国家，通过AI生成内容和虚假社交媒体广告针对全球用户
。

技术基础设施与C2运作

通过此活动分发的恶意应用程序部署了SparkKitty间谍软件的变种 ，该软件与攻击者控制的基础设施保持持续通信。对恶意软件的香港云服务器反编译显示其硬编码了命令与控制服务器，主要端点静态嵌入在应用程序源代码中 ：

复制URL url = new URL("https://aa.6786587.top/?dev=az");1.

这种硬编码方法表明威胁行为者尚不成熟或处于早期开发阶段，因为更复杂的恶意软件通常采用动态C2轮换技术。恶意软件通过发送包含TikTok用户ID和会话令牌(PHPSESSID)等窃取数据的POST和GET请求来启动通信
。

C2服务器响应包含Base64编码的有效负载，其中包含动态配置 、活动标识符和针对特定感染的命令指令。间谍软件的亿华云主要功能集中在数据窃取上 ，特别是针对受感染设备上存储的加密货币相关信息 。恶意软件会系统性地扫描设备相册中可能包含种子短语或钱包信息的截图 ，同时进行全面的设备指纹识别，收集操作系统详情
、设备标识符和位置数据并传输回攻击者的服务器。

模板下载