Lažna verzija popularne aplikacije CapCut krije opasne malvere

Vesti, 22.05.2023, 11:00 AM

Istraživači iz kompanije Cyble upozorili su na veb sajtove na kojima se nudi lažna verzija popularnog alata za uređivanje videa CapCut. Problem sa ovim sajtovima je što će korisnici osim lažnog alata preuzeti i neki od malvera koji dolaze u paketu sa njim.

CapCut je zvanični alat za uređivanje videa kompanije ByteDance koja je vlasnik i TikToka. CapCut podržava mešanje muzike, filtere boja, animaciju, efekte usporenog snimanja, sliku u slici, stabilizaciju i još mnogo toga.

Aplikacija ima preko 500 miliona preuzimanja samo na Google Play, a veb sajt CapCuta ima više od 30 miliona poseta mesečno.

S obzirom da je ovaj alat planetarno popularan, ali i zabranjen u nekim zemljama poput Tajvana i Indije, razumljivo je što korisnici traže alternativne načine za preuzimanje programa.

Sajber kriminalci koriste to i na svojim veb sajtovima nude popularni program koji krije malvere.

Reč je o sajtovima capcut-freedownload[.]com, capcutfreedownload[.]com, capcut-editor-video[.]com, capcutdownload[.]com, capcutpc-download[.]com. Nije jasno kako su žrtve usmeravane na ove sajtove, od kojih u ovom trenutku nijedan više ne radi.

Prva kampanja koju su uočili istraživači koristi lažne CapCut sajtove sa dugmetom za preuzimanje koje isporučuje malver Offx Stealer na računar korisnika. Ovaj malver radi samo na Windows 8, 10 i 11. Kada žrtva pokrene preuzeti fajl, dobija lažnu poruku o grešci koja tvrdi da pokretanje aplikacije nije uspelo. Međutim, Offx Stealer nastavlja da radi u pozadini.

Malver će pokušati da izdvoji lozinke i kolačiće iz veb pregledača i određenih tipova fajlova (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp, and .db) iz foldera na radnoj površini korisnika. Malver će takođe pokušati da ukrade podatke sačuvane u aplikacijama za slanje poruka kao što su Discord i Telegram, aplikacija novčanika za kriptovalute (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda i Zcash) i softvera za daljinski pristup kao što su UltraViewer i AnyDesk.

Svi ukradeni podaci se čuvaju u generisanom folderu u %AppData%, komprimuju se, a zatim šalju operaterima na privatnom Telegram kanalu, nakon čega se folder kreiran za privremeno čuvanje podataka briše kako bi se izbrisali svi tragovi infekcije.

U drugoj kampanji koja uključuje lažne CapCut sajtove žrtve preuzimaju fajl pod nazivom “CapCut_Pro_Edit_Video.rar”. Cyble kaže da u vreme kada su oni primetili kampanju nijedan antivirus nije označio ovaj fajl kao zlonameran. Ipak, u njemu je dobro sakriven poznati malver Redline Stealer i .NET izvršni fajl.

Redline je malver za krađu informacija koji može da preuzme podatke sačuvane u veb pregledačima i aplikacijama, uključujući akreditive, kreditne kartice i podatke za automatsko popunjavanje.

Uloga .NET fajla je da zaobiđe AMSI Windows bezbednosnu funkciju i omogući Redlineu da radi nesmetano na kompromitovanom sistemu.

Da biste se zaštitili od ovakvih malvera, softver uvek preuzimajte direktno sa zvaničnih sajtova, a ne sa sajtova koje ste videli na forumima, društvenim mrežama ili za koje ste link dobili preko poruke, a takođe izbegavajte plaćene oglase u rezultatima pretrage kada tražite softver na Googleu.

CapCut je dostupan na zvaničnom sajtu capcut.com, Google Play (za Android) i App Store (za iOS).