Οι κλωνοποιημένοι ιστότοποι CapCut ωθούν πληροφορίες κλοπής κακόβουλου λογισμικού
Related Posts
Μια νέα καμπάνια διανομής κακόβουλου λογισμικού βρίσκεται σε εξέλιξη, η οποία υποδύεται το εργαλείο επεξεργασίας βίντεο CapCut για να προωθήσει διάφορα στελέχη κακόβουλου λογισμικού σε ανυποψίαστα θύματα.
Το CapCut είναι ο επίσημος επεξεργαστής και κατασκευαστής βίντεο της ByteDance για το TikTok, υποστηρίζοντας μίξη μουσικής, φίλτρα χρωμάτων, κινούμενα σχέδια, εφέ αργής κίνησης, εικόνα σε εικόνα, σταθεροποίηση και πολλά άλλα.
Έχει πάνω από 500 εκατομμύρια λήψεις μόνο στο Google Play και ο ιστότοπός του δέχεται πάνω από 30 εκατομμύρια επισκέψεις μηνιαίως.
Η δημοτικότητα της εφαρμογής, σε συνδυασμό με τις απαγορεύσεις σε εθνικό επίπεδο στην Ταϊβάν, την Ινδία και άλλα μέρη, έχει ωθήσει τους χρήστες να αναζητήσουν εναλλακτικούς τρόπους λήψης του προγράμματος.
Ωστόσο, οι φορείς απειλών το εκμεταλλεύονται αυτό δημιουργώντας ιστότοπους που διανέμουν κακόβουλο λογισμικό μεταμφιεσμένο ως προγράμματα εγκατάστασης CapCut.
Οι κακόβουλοι ιστότοποι ανακαλύφθηκαν από
Cyble
το οποίο αναφέρει ότι βλέπει δύο καμπάνιες που διανέμουν διαφορετικά στελέχη κακόβουλου λογισμικού.
Δεν παρασχέθηκαν συγκεκριμένες πληροφορίες σχετικά με τον τρόπο με τον οποίο κατευθύνονται τα θύματα σε αυτούς τους ιστότοπους, αλλά συνήθως, οι φορείς απειλών χρησιμοποιούν SEO μαύρο καπέλο, διαφημίσεις αναζήτησης και μέσα κοινωνικής δικτύωσης για να προωθήσουν τους ιστότοπους.
Ένας ψεύτικος ιστότοπος CapCut
Πηγή: BleepingComputer
Οι προσβλητικοί ιστότοποι είναι:
- capcut-freedownload[.]com
- capcut freedownload[.]com
- capcut-editor-video[.]com
- capcutdownload[.]com
- capcutpc-λήψη[.]com
Τη στιγμή της σύνταξης, όλοι οι τομείς έχουν τεθεί εκτός σύνδεσης.
Πρώτη καμπάνια
Η πρώτη καμπάνια που εντοπίστηκε από τους αναλυτές της Cyble χρησιμοποιεί ψεύτικους ιστότοπους CapCut που διαθέτουν ένα κουμπί λήψης που παρέχει ένα αντίγραφο του Offx Stealer στον υπολογιστή του χρήστη.
Το δυαδικό αρχείο κλοπής έχει μεταγλωττιστεί στο PyInstaller και θα τρέχει μόνο στα Windows 8, 10 και 11.
Όταν το θύμα εκτελεί το ληφθέν αρχείο, λαμβάνει ένα ψευδές μήνυμα σφάλματος που ισχυρίζεται ότι η εκκίνηση της εφαρμογής απέτυχε. Ωστόσο, το Offx Stealer συνεχίζει να λειτουργεί στο παρασκήνιο.
Ψεύτικο μήνυμα σφάλματος
(Cyble)
Το κακόβουλο λογισμικό θα επιχειρήσει να εξαγάγει κωδικούς πρόσβασης και cookie από προγράμματα περιήγησης ιστού και συγκεκριμένους τύπους αρχείων (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp και .db) από τον φάκελο επιφάνειας εργασίας του χρήστη.
Στοχεύει επίσης δεδομένα που είναι αποθηκευμένα σε εφαρμογές ανταλλαγής μηνυμάτων όπως το Discord και το Telegram, εφαρμογές πορτοφολιού κρυπτονομισμάτων (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda και Zcash) και λογισμικό απομακρυσμένης πρόσβασης όπως το UltraViewer και το AnyDesk.
Όλα τα κλεμμένα δεδομένα αποθηκεύονται σε έναν τυχαία δημιουργημένο κατάλογο στο φάκελο %AppData%, συμπιέζονται και στη συνέχεια αποστέλλονται στους χειριστές κακόβουλου λογισμικού σε ένα ιδιωτικό κανάλι Telegram. Οι φορείς απειλών χρησιμοποιούν επίσης την υπηρεσία φιλοξενίας αρχείων AnonFiles για πλεονασμό στο βήμα της εξαγωγής.
Μετά τη μετάδοση των κλεμμένων αρχείων στους εισβολείς, ο τοπικός κατάλογος που δημιουργήθηκε για την προσωρινή φιλοξενία των δεδομένων διαγράφεται για να διαγραφεί τυχόν ίχνη μόλυνσης.
Κατάλογος με τυχαία ονομασία που περιέχει τα κλεμμένα δεδομένα
(Cyble)
Δεύτερη καμπάνια
Η δεύτερη καμπάνια που περιλαμβάνει ψεύτικους ιστότοπους CapCut ρίχνει ένα αρχείο με το όνομα ‘CapCut_Pro_Edit_Video.rar’ στις συσκευές των θυμάτων, το οποίο περιέχει ένα σενάριο δέσμης που, με τη σειρά του, ενεργοποιεί ένα σενάριο PowerShell όταν ανοίγει.
Η Cyble λέει ότι τη στιγμή της ανάλυσής της, καμία μηχανή προστασίας από ιούς δεν θα επισήμανε το αρχείο δέσμης ως κακόβουλο, επομένως ο φορτωτής είναι πολύ μυστικός.
Το σενάριο PowerShell αποκρυπτογραφεί, αποσυμπιέζει και φορτώνει το τελικό ωφέλιμο φορτίο: Redline Stealer και ένα εκτελέσιμο αρχείο .NET.
Αλυσίδα επίθεσης της δεύτερης εκστρατείας
(Cyble)
Το Redline είναι ένα ευρέως διαδεδομένο πρόγραμμα κλοπής πληροφοριών που μπορεί να συλλάβει δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης και εφαρμογές Ιστού, συμπεριλαμβανομένων διαπιστευτηρίων, πιστωτικών καρτών και δεδομένων αυτόματης συμπλήρωσης.
Ο ρόλος του ωφέλιμου φορτίου .NET είναι να παρακάμψει τη δυνατότητα ασφαλείας AMSI των Windows, επιτρέποντας στο Redline να λειτουργεί χωρίς εντοπισμό στο παραβιασμένο σύστημα.
Για να παραμείνετε ασφαλείς από κακόβουλο λογισμικό, κατεβάστε λογισμικό απευθείας από επίσημους ιστότοπους και όχι από κοινόχρηστους ιστότοπους σε φόρουμ, μέσα κοινωνικής δικτύωσης ή απευθείας μηνύματα και φροντίστε επίσης να αποφύγετε τα προωθούμενα αποτελέσματα κατά την αναζήτηση εργαλείων λογισμικού στο Google.
Σε αυτήν την περίπτωση, το CapCut είναι διαθέσιμο μέσω
capcut.com
,
Google Play
(για Android), και το
App Store
(για iOS).
