Golpe no TikTok rouba conta do Google e permite acesso ao Gmail, Drive e Ads

Cibercriminosos estão utilizando páginas de phishing do tipo adversário no meio (AitM) para comprometer contas empresariais do TikTok for Business. Em muitos casos, contas do Google estavam vinculadas a elas. 

O alerta é da Push Security, que identificou a campanha ativa e mapeou a infraestrutura maliciosa usada nos ataques.

Como o ataque funciona

A vítima recebe um link malicioso que a leva a uma de duas páginas: uma réplica do portal TikTok for Business ou uma página falsa do Google Careers, com formulário para "agendar uma call".

Em ambos os casos, antes de qualquer conteúdo ser exibido, a página realiza uma verificação do Cloudflare Turnstile. Esse é um mecanismo que bloqueia scanners automáticos de segurança e garante que só usuários reais avancem.

Após preencher um formulário básico, a vítima é redirecionada para uma página de login que funciona como fachada de um kit de phishing AitM com proxy reverso. Tudo que o usuário digita, incluindo credenciais e tokens de sessão, é interceptado em tempo real pelos atacantes.

O link inicial passa antes por um redirecionamento silencioso via Google Storage, o que ajuda a contornar filtros de e-mail e proxies de segurança.

O efeito dominó via SSO

A maioria dos usuários comerciais do TikTok opta por fazer login com o Google. Isso significa que, quando o phishing tem sucesso, o atacante não compromete apenas a conta do TikTok, ele captura também a sessão do Google. A partir do login, o criminoso pode acessar qualquer serviço via SSO. Isso inclui Google Ads, Google Drive e Gmail.

Esse encadeamento é parecido com o vetor explorado em campanhas como a onda de phishing do grupo Scattered Lapsus$ e ataques recentes com device code phishing.

A infraestrutura da campanha

Os pesquisadores identificaram 11 domínios de phishing registrados no dia 24 de março, todos criados num intervalo de 9 segundos. Todos estão hospedados no Cloudflare e foram registrados pela Nicenic International Group, registradora frequentemente associada ao registro em massa de domínios maliciosos. Os domínios seguem o padrão welcome.careers*[.]com:

• welcome.careerscrews[.]com
• welcome.careerstaffer[.]com
• welcome.careersworkflow[.]com
• welcome.careerstransform[.]com
• welcome.careersupskill[.]com
• welcome.careerssuccess[.]com
• welcome.careersstaffgrid[.]com
• welcome.careersprogress[.]com
• welcome.careersgrower[.]com
• welcome.careersengage[.]com

A Push Security alertou que a lista tende a crescer conforme a campanha ganha escala.

Uma versão anterior do ataque foi identificada pela Sublime Security em outubro de 2025, com e-mails de "outreach" como isca inicial, padrão que provavelmente se repete aqui.

Por que o TikTok for Business?

Contas empresariais em plataformas de mídia social são um alvo lucrativo para agentes maliciosos. Isso porque elas permitem veicular anúncios, alcançar audiências massivas e distribuir malware com aparência legítima.

O TikTok já foi usado no passado para disseminar infostealers como Vidar, StealC e Aura Stealer. As campanhas usavam vídeos gerados por IA que simulavam tutoriais de ativação do Windows, Spotify e CapCut. Nesses vídeos, os criminosos instruíam os usuários a executar comandos no PowerShell. Um único vídeo chegou a 500 mil visualizações.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.