Cibercriminosos estão utilizando páginas de phishing do tipo adversário no meio (AitM) para comprometer contas empresariais do TikTok for Business. Em muitos casos, contas do Google estavam vinculadas a elas. O alerta é da Push Security, que identificou a campanha ativa e mapeou a infraestrutura maliciosa usada nos ataques.Como o ataque funcionaA vítima recebe um link malicioso que a leva a uma de duas páginas: uma réplica do portal TikTok for Business ou uma página falsa do Google Careers, com formulário para "agendar uma call".O golpe começa com uma etapa de verificação que faz com que sistemas automáticos de segurança não consigam acessar a página. Esta é uma forma de driblar a detecção. Imagem:Push Security.Em ambos os casos, antes de qualquer conteúdo ser exibido, a página realiza uma verificação do Cloudflare Turnstile. Esse é um mecanismo que bloqueia scanners automáticos de segurança e garante que só usuários reais avancem.Após preencher um formulário básico, a vítima é redirecionada para uma página de login que funciona como fachada de um kit de phishing AitM com proxy reverso. Tudo que o usuário digita, incluindo credenciais e tokens de sessão, é interceptado em tempo real pelos atacantes.Campanha faz triagem inicial dos dados, já roubando informações sensíveis na vítima no primeiro passo. Imagem: Push Security.O link inicial passa antes por um redirecionamento silencioso via Google Storage, o que ajuda a contornar filtros de e-mail e proxies de segurança.O efeito dominó via SSOA maioria dos usuários comerciais do TikTok opta por fazer login com o Google. Isso significa que, quando o phishing tem sucesso, o atacante não compromete apenas a conta do TikTok, ele captura também a sessão do Google. A partir do login, o criminoso pode acessar qualquer serviço via SSO. Isso inclui Google Ads, Google Drive e Gmail.Infográfico mostra um exemplo de uma linha do tempo de detecção, mostrando o redirecionamento inicial do usuário. Imagem: Push Security.Esse encadeamento é parecido com o vetor explorado em campanhas como a onda de phishing do grupo Scattered Lapsus$ e ataques recentes com device code phishing.A infraestrutura da campanhaOs pesquisadores identificaram 11 domínios de phishing registrados no dia 24 de março, todos criados num intervalo de 9 segundos. Todos estão hospedados no Cloudflare e foram registrados pela Nicenic International Group, registradora frequentemente associada ao registro em massa de domínios maliciosos. Os domínios seguem o padrão welcome.careers*[.]com:welcome.careerscrews[.]comwelcome.careerstaffer[.]comwelcome.careersworkflow[.]comwelcome.careerstransform[.]comwelcome.careersupskill[.]comwelcome.careerssuccess[.]comwelcome.careersstaffgrid[.]comwelcome.careersprogress[.]comwelcome.careersgrower[.]comwelcome.careersengage[.]comA Push Security alertou que a lista tende a crescer conforme a campanha ganha escala.Uma versão anterior do ataque foi identificada pela Sublime Security em outubro de 2025, com e-mails de "outreach" como isca inicial, padrão que provavelmente se repete aqui.Por que o TikTok for Business?Contas empresariais em plataformas de mídia social são um alvo lucrativo para agentes maliciosos. Isso porque elas permitem veicular anúncios, alcançar audiências massivas e distribuir malware com aparência legítima.TikTok Shop tornou a rede social valiosa para golpistas que querem vender produtos fraudulentos. O TikTok já foi usado no passado para disseminar infostealers como Vidar, StealC e Aura Stealer. As campanhas usavam vídeos gerados por IA que simulavam tutoriais de ativação do Windows, Spotify e CapCut. Nesses vídeos, os criminosos instruíam os usuários a executar comandos no PowerShell. Um único vídeo chegou a 500 mil visualizações.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.