近日�,Cyble的安全研究者發(fā)現黑客正利用假冒CapCut(剪映的海外版)官網將大量惡意軟件推送給毫無戒備的受害者����。
CapCut是字節(jié)跳動旗下TikTok的官方視頻編輯器和制作工具�,支持音樂混合、濾色器��、動畫��、慢動作效果���、畫中畫���、穩(wěn)定器等功能,是最流行的視頻剪輯工具之一�����。
僅在Google Play上��,CapCut的下載量就超過500億次�����,其網站每月的點擊量超過30萬次��。
由于印度等國家和地區(qū)頒布了CapCut禁令��,導致很多用戶尋找CapCut的替代下載方式��。
黑客正是利用這一點架設冒牌CapCut官網(下圖)誘騙用戶下載惡意軟件�。
據Cyble的安全研究人員報告,已經發(fā)現兩個分發(fā)惡意軟件的攻擊活動使用了假冒的CapCut網站�。
報告沒有提供有關受害者如何在冒牌網站上被引導的具體信息�,但通常��,攻擊者會使用黑帽SEO����、搜索廣告和社交媒體來推廣這些網站���。
已經發(fā)現的冒牌CapCut官網地址如下(截至發(fā)稿�����,這些網站都已下線):
-
Capcut-freedownload[.].com
-
Capcutfreedownload[.].com
-
Capcut-editor-video[.].com
-
Capcutdownload[.].com
-
Capcutpc-download[.].com
攻擊活動一:竊取賬號和加密貨幣錢包信息
Cyble分析師發(fā)現的第一個攻擊活動使用了虛假的CapCut網站�����,該網站頁面有下載按鈕���,可在用戶的計算機上下載信息竊取軟件Offx Stealer。該信息竊取軟件的二進制文件是在PyInstaller上編譯的�,只能在Windows8、10和11上運行�����。
當受害者執(zhí)行下載的文件時�����,會收到一條虛假錯誤消息�,聲稱應用程序啟動失敗����。事實上Offx Stealer已經啟動并持續(xù)在后臺運行。
該惡意軟件還將嘗試從用戶的Web瀏覽器和桌面文件夾中的特定類型文件(.txt��、.lua��、.pdf�、.png、.jpg�����、.jpeg����、.py�����、.cpp和.db)中提取密碼和Cookie�����。此外��,還可竊取存儲在Discord和Telegram等消息傳遞應用程序��,加密貨幣錢包應用程序(Exodus���、Atomic、Ethereum���、Coinomi���、Bytecoin、Guarda和Zcash)以及UltraViewer和AnyDesk等遠程訪問軟件中的數據��。
所有被盜數據都保存在%AppData%文件夾中隨機生成的目錄中�����,壓縮,然后通過私人Telegram頻道發(fā)送給惡意軟件運營商���。攻擊者還使用AnonFiles文件托管服務在滲透步驟中實現冗余���。
被盜文件傳輸給攻擊者后��,惡意軟件將刪除為臨時托管數據而創(chuàng)建的本地目錄以擦除感染痕跡�����。
攻擊活動二:竊取賬號和銀行卡信息
使用假冒CapCut網站的另一個攻擊活動會在受害者的設備上存儲一個名為“CapCut_Pro_Edit_Video.rar”的文件����,其中包含一個批處理腳本�,該腳本在打開時又會觸發(fā)PowerShell腳本。
由于沒有防病毒引擎會將批處理文件標記為惡意軟件��,因此該加載程序非常隱蔽��。
PowerShell腳本負責解密�、解壓縮并加載兩個有效負載:Redline Stealer和.NET可執(zhí)行文件,攻擊鏈如下圖所示:
Redline是一種非常流行的信息竊取程序���,可以獲取存儲在Web瀏覽器和應用程序中的數據����,包括憑據、信用卡和自動(表單)完成數據����。
.NET有效負載的作用是繞過AMSI Windows安全功能,允許Redline在受感染的系統(tǒng)上運行而不被發(fā)現�。
為了遠離上述惡意軟件,建議剪映(Capcut)用戶直接從官方網站下載軟件�,而不是在論壇、社交媒體或私信中分享的網站�����,并確保在搜索引擎上搜索該軟件工具時��,不要誤點廣告(防止黑帽SEO)�。
剪映海外版(CapCut)可以通過capcut.com,Google Play(適用于Android)和App Store等官方渠道獲得�。
