Злоумышленники распространяют новый стилер под видом CapCut

Злоумышленники распространяют новый стилер под видом CapCut

Мошенники пользуются тем, что приложение запрещено в других странах, и предлагают пользователям альтернативные способы загрузки.

image

Специалисты из ИБ-компании Cyble обнаружили две кампании , в ходе которых злоумышленники распространяют вредоносные программы под видом CapCut - популярного видеоредактора для TikTok.

CapCut — это официальный видеоредактор от ByteDance для TikTok. Приложение имеет более 500 млн. загрузок только в Google Play, а на сайт программы заходит более 30 млн. пользователей в месяц.

Популярность приложения, а также его запрет на Тайване, в Индии и других странах заставили пользователей искать альтернативные способы скачивания программы. Киберпреступники используют эти запреты, создавая поддельные сайты, которые распространяют вредоносные программы, имитирующие установщики CapCut.

Неизвестно, как жертвы попадают на эти сайты, но обычно злоумышленники используют чёрную оптимизацию поисковых систем (Black Hat SEO), рекламу в поиске и соцсети для продвижения сайтов.

В ходе первой кампании жертва с фальшивого сайта скачивает стилер Offx Stealer, предназначенный для Windows 8, 10 и 11. Когда жертва запускает скачанный файл, она получает поддельное сообщение об ошибке, утверждающее, что запуск приложения не удался. Однако Offx Stealer продолжает работать в фоновом режиме.

Поддельный сайт CapCut и отображаемая ошибка приложения

Вредоносная программа собирает:

  • пароли и cookie-файлы из веб-браузеров и определенных типов файлов (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp и .db) из папки рабочего стола пользователя;
  • данные из Discord и Telegram;
  • данные из приложений криптовалютных кошельков (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda и Zcash);
  • информацию из ПО для удаленного доступа UltraViewer и AnyDesk.

Все украденные данные сохраняются в случайно сгенерированном каталоге в папке «%AppData%», архивируются и затем отправляются хакерам в приватный Telegram-канал. После эксфильтрации файлов созданный каталог удаляется, чтобы стереть следы заражения.

Вторая кампания доставляет на устройства архив «CapCut_Pro_Edit_Video.rar», который при открытии запускает скрипт PowerShell. Скрипт PowerShell загружает окончательную полезную нагрузку Redline Stealer и исполняемый файл .NET. (нужен для обхода функции безопасности Windows AMSI, позволяя Redline Stealer работать незамеченным).

Чтобы не подвергаться риску заражения вредоносными программами загружайте ПО непосредственно с официальных сайтов, а не с сайтов, которыми делятся другие пользователи в соцсетях или личных сообщениях. Напомним, что CapCut доступен на "capcut.com", Google Play (для Android) и App Store (для iOS).

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!