D’après un rapport de Push Security, des acteurs malveillants utilisent des pages d’hameçonnage de type « adversaire au milieu » (AitM) pour prendre le contrôle des comptes TikTok for Business dans le cadre d’une nouvelle campagne.

Les comptes professionnels associés aux plateformes de médias sociaux constituent une cible lucrative, car ils peuvent être utilisés par des personnes mal intentionnées pour diffuser des publicités malveillantes et distribuer des logiciels malveillants.

« TikTok a été historiquement utilisé à mauvais escient pour diffuser des liens malveillants et des instructions d’ingénierie sociale », a déclaré Push Security . « Cela inclut de nombreux voleurs d’informations comme Vidar, StealC et Aura Stealer, diffusés via des instructions de type ClickFix avec des vidéos générées par IA se faisant passer pour des guides d’activation pour Windows, Spotify et CapCut. »

La campagne commence par piéger les victimes en les incitant à cliquer sur un lien malveillant qui les dirige soit vers une page similaire imitant TikTok for Business, soit vers une page conçue pour imiter Google Careers, avec une option permettant de programmer un appel pour discuter de l’opportunité.

Il convient de noter qu’une version antérieure de cette campagne d’hameçonnage d’identifiants a été signalée par Sublime Security en octobre 2025, avec des courriels se faisant passer pour des messages de sensibilisation utilisés comme tactique d’ingénierie sociale.

Quel que soit le type de page servie, l’objectif final est le même : effectuer un contrôle Cloudflare Turnstile pour empêcher les bots et les scanners automatisés d’analyser le contenu de la page et servir une page de connexion malveillante de type phishing AitM conçue pour voler leurs identifiants.

Les pages d’hameçonnage sont hébergées sur les domaines suivants :

• bienvenue.careerscrews[.]com
• bienvenue.careerstaffer[.]com
• bienvenue.careersworkflow[.]com
• bienvenue.careerstransform[.]com
• bienvenue.careersupskill[.]com
• bienvenue.careerssuccess[.]com
• bienvenue.careersstaffgrid[.]com
• bienvenue.careersprogress[.]com
• bienvenue.careersgrower[.]com
• bienvenue.careersengage[.]com
• bienvenue.careerscrews[.]com

Cette information survient alors qu’une autre campagne d’hameçonnage a été observée, utilisant des pièces jointes de fichiers graphiques vectoriels évolutifs (SVG) pour diffuser des logiciels malveillants à des cibles situées au Venezuela.

Selon un rapport publié par WatchGuard, les messages contiennent des fichiers SVG dont les noms sont en espagnol, se faisant passer pour des factures, des reçus ou des budgets. 

« Lorsque ces fichiers SVG malveillants sont ouverts, ils communiquent avec une URL qui télécharge le logiciel malveillant », a déclaré l’entreprise . « Cette campagne utilise ja.cat pour raccourcir les URL de domaines légitimes présentant une vulnérabilité permettant la redirection vers n’importe quelle URL, afin de les faire pointer vers le domaine d’origine où le logiciel malveillant est téléchargé. »

L’artefact téléchargé est un logiciel malveillant écrit en Go qui présente des similitudes avec un échantillon de ransomware BianLian détaillé par SecurityScorecard en janvier 2024.

« Cette campagne nous rappelle avec force que même des types de fichiers apparemment inoffensifs comme les SVG peuvent être utilisés pour diffuser des menaces sérieuses », a déclaré WatchGuard. « Dans ce cas précis, des pièces jointes SVG malveillantes ont servi à initier une chaîne d’hameçonnage qui a abouti à la diffusion de logiciels malveillants associés à l’activité de BianLian