Websites clonados do CapCut distribuem malware para roubo de informações
22 de Maio de 2023

Uma nova campanha de distribuição de malware está em andamento, se passando pela ferramenta de edição de vídeo CapCut, para disseminar várias cepas de malware para vítimas desprevenidas.

CapCut é o editor e fabricante oficial de vídeos da ByteDance para o TikTok, suportando mixagem de música, filtros de cor, animação, efeitos de câmera lenta, imagem sobre imagem, estabilização, entre outros.

Ele possui mais de 500 milhões de downloads somente no Google Play, e seu site recebe mais de 30 milhões de acessos mensalmente.

A popularidade do aplicativo, combinada com proibições em todo o país em Taiwan, Índia e em outros lugares, tem levado os usuários a procurar maneiras alternativas de baixar o programa.

No entanto, os atores de ameaças exploram isso criando sites que distribuem malware disfarçado de instaladores do CapCut.

Os sites mal-intencionados foram descobertos pela Cyble, que relata ter visto duas campanhas distribuindo diferentes cepas de malware.

Nenhuma informação específica sobre como as vítimas são direcionadas a esses sites foi fornecida, mas geralmente, os atores de ameaças usam black hat SEO, anúncios de pesquisa e mídias sociais para promover os sites.

Os sites ofensivos são: No momento da escrita, todos os domínios foram retirados do ar.

A primeira campanha avistada pelos analistas da Cyble usa sites falsos do CapCut com um botão de download que entrega uma cópia do Offx Stealer no computador do usuário.

O binário do ladrão foi compilado no PyInstaller e só executará no Windows 8, 10 e 11.

Quando a vítima executa o arquivo baixado, ela recebe uma mensagem de erro falsa afirmando que o lançamento do aplicativo falhou.

No entanto, o Offx Stealer continua a operar em segundo plano.

O malware tentará extrair senhas e cookies de navegadores da web e tipos de arquivos específicos (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp e .db) da pasta de desktop do usuário.

Ele também mira dados armazenados em aplicativos de mensagens como Discord e Telegram, aplicativos de carteira de criptomoedas (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda e Zcash) e software de acesso remoto como UltraViewer e AnyDesk.

Todos os dados roubados são salvos em um diretório gerado aleatoriamente na pasta %AppData%, compactados e depois enviados aos operadores de malware em um canal privado do Telegram.

Os atores de ameaças também usam o serviço de hospedagem de arquivos AnonFiles para redundância na etapa de exfiltração.

Depois que os arquivos roubados são transmitidos aos atacantes, o diretório local criado para hospedar temporariamente os dados é excluído para apagar qualquer vestígio da infecção.

A segunda campanha envolvendo sites falsos do CapCut deixa um arquivo chamado 'CapCut_Pro_Edit_Video.rar' nos dispositivos das vítimas, contendo um script em lote que, por sua vez, aciona um script do PowerShell quando aberto.

A Cyble diz que no momento de sua análise, nenhum mecanismo antivírus sinalizaria o arquivo em lotes como malicioso, então o carregador é muito furtivo.

O script do PowerShell decifra, descompacta e carrega o payload final: o Redline Stealer e um executável .NET.

O Redline é um ladrão de informações amplamente implantado que pode agarrar dados armazenados em navegadores da web e aplicativos, incluindo credenciais, cartões de crédito e dados de auto-preenchimento.

O papel do payload .NET é contornar o recurso de segurança do Windows AMSI, permitindo que o Redline opere indetectado no sistema comprometido.

Para se proteger de malware, baixe software diretamente de sites oficiais em vez de sites compartilhados em fóruns, mídias sociais ou mensagens diretas, e certifique-se também de evitar resultados promovidos ao procurar ferramentas de software no Google.

Neste caso, o CapCut está disponível por meio do site oficial do capcut, Google Play (para Android) e App Store (para iOS).

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...