Новости Злоумышленники распространяют новый стилер под видом CapCut

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Мошенники пользуются тем, что приложение запрещено в других странах, и предлагают пользователям альтернативные способы загрузки.


fii87ixhq7asblrg0ka40r1zlt6i22vt.jpg


Специалисты из ИБ-компании Cyble Для просмотра ссылки Войди или Зарегистрируйся , в ходе которых злоумышленники распространяют вредоносные программы под видом CapCut - популярного видеоредактора для TikTok .

CapCut — это официальный видеоредактор от ByteDance для TikTok. Приложение имеет более 500 млн. загрузок только в Google Play, а на сайт программы заходит более 30 млн. пользователей в месяц.

Популярность приложения, а также его запрет на Тайване, в Индии и других странах заставили пользователей искать альтернативные способы скачивания программы. Киберпреступники используют эти запреты, создавая поддельные сайты, которые распространяют вредоносные программы, имитирующие установщики CapCut.

Неизвестно, как жертвы попадают на эти сайты, но обычно злоумышленники используют <span style="background: #ffffff;">чёрную оптимизацию поисковых систем (</span><span style="background: #ffffff;">B</span><span style="background: #ffffff;">lack </span><span style="background: #ffffff;">H</span><span style="background: #ffffff;">at SEO)</span>, рекламу в поиске и соцсети для продвижения сайтов.

В ходе первой кампании жертва с фальшивого сайта скачивает стилер Offx Stealer , предназначенный для Windows 8, 10 и 11. Когда жертва запускает скачанный файл, она получает поддельное сообщение об ошибке, утверждающее, что запуск приложения не удался. Однако Offx Stealer продолжает работать в фоновом режиме.


xee3mxhpmynzo07kofoqfq0so2mhh9nx.png


Поддельный сайт CapCut и отображаемая ошибка приложения

Вредоносная программа собирает:

  • пароли и cookie -файлы из веб-браузеров и определенных типов файлов (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp и .db) из папки рабочего стола пользователя;
  • данные из Discord и Telegram;
  • данные из приложений криптовалютных кошельков (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda и Zcash);
  • информацию из ПО для удаленного доступа UltraViewer и AnyDesk.

Все украденные данные сохраняются в случайно сгенерированном каталоге в папке «%AppData%», архивируются и затем отправляются хакерам в приватный Telegram -канал. После эксфильтрации файлов созданный каталог удаляется, чтобы стереть следы заражения.

Вторая кампания доставляет на устройства архив «CapCut_Pro_Edit_Video.rar», который при открытии запускает скрипт PowerShell . Скрипт PowerShell загружает окончательную полезную нагрузку Redline Stealer и исполняемый файл .NET. (нужен для обхода функции безопасности Windows AMSI, позволяя Redline Stealer работать незамеченным).

Чтобы не подвергаться риску заражения вредоносными программами загружайте ПО непосредственно с официальных сайтов, а не с сайтов, которыми делятся другие пользователи в соцсетях или личных сообщениях. Напомним, что CapCut доступен на "capcut.com", Google Play (для Android) и App Store (для iOS).
 
Источник новости
www.securitylab.ru

Похожие темы