23/05/23
Специалисты из ИБ-компании Cyble обнаружили две кампании , в ходе которых злоумышленники распространяют вредоносные программы под видом CapCut - популярного видеоредактора для TikTok.
CapCut — это официальный видеоредактор от ByteDance для TikTok, поясняет Securitylab. Приложение имеет более 500 млн. загрузок только в Google Play, а на сайт программы заходит более 30 млн. пользователей в месяц.
Популярность приложения, а также его запрет на Тайване, в Индии и других странах заставили пользователей искать альтернативные способы скачивания программы. Киберпреступники используют эти запреты, создавая поддельные сайты, которые распространяют вредоносные программы, имитирующие установщики CapCut.
Неизвестно, как жертвы попадают на эти сайты, но обычно злоумышленники используют чёрную оптимизацию поисковых систем (Black Hat SEO), рекламу в поиске и соцсети для продвижения сайтов.
В ходе первой кампании жертва с фальшивого сайта скачивает стилер Offx Stealer, предназначенный для Windows 8, 10 и 11. Когда жертва запускает скачанный файл, она получает поддельное сообщение об ошибке, утверждающее, что запуск приложения не удался. Однако Offx Stealer продолжает работать в фоновом режиме.
Вредоносная программа собирает:
- пароли и cookie-файлы из веб-браузеров и определенных типов файлов (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp и .db) из папки рабочего стола пользователя;
- данные из Discord и Telegram;
- данные из приложений криптовалютных кошельков (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda и Zcash);
- информацию из ПО для удаленного доступа UltraViewer и AnyDesk.
Все украденные данные сохраняются в случайно сгенерированном каталоге в папке «%AppData%», архивируются и затем отправляются хакерам в приватный Telegram-канал. После эксфильтрации файлов созданный каталог удаляется, чтобы стереть следы заражения.
Вторая кампания доставляет на устройства архив «CapCut_Pro_Edit_Video.rar», который при открытии запускает скрипт PowerShell. Скрипт PowerShell загружает окончательную полезную нагрузку Redline Stealer и исполняемый файл .NET. (нужен для обхода функции безопасности Windows AMSI, позволяя Redline Stealer работать незамеченным).
Чтобы не подвергаться риску заражения вредоносными программами загружайте ПО непосредственно с официальных сайтов, а не с сайтов, которыми делятся другие пользователи в соцсетях или личных сообщениях. Напомним, что CapCut доступен на "capcut.com", Google Play (для Android) и App Store (для iOS).
