Uma nova campanha de distribuição de malware está em andamento, se passando pela ferramenta de edição de vídeo CapCut, para disseminar várias cepas de malware para vítimas desprevenidas.
CapCut é o editor e fabricante oficial de vídeos da ByteDance para o TikTok, suportando mixagem de música, filtros de cor, animação, efeitos de câmera lenta, imagem sobre imagem, estabilização, entre outros.
Ele possui mais de 500 milhões de downloads somente no Google Play, e seu site recebe mais de 30 milhões de acessos mensalmente.
A popularidade do aplicativo, combinada com proibições em todo o país em Taiwan, Índia e em outros lugares, tem levado os usuários a procurar maneiras alternativas de baixar o programa.
No entanto, os atores de ameaças exploram isso criando sites que distribuem malware disfarçado de instaladores do CapCut.
Os sites mal-intencionados foram descobertos pela Cyble, que relata ter visto duas campanhas distribuindo diferentes cepas de malware.
Nenhuma informação específica sobre como as vítimas são direcionadas a esses sites foi fornecida, mas geralmente, os atores de ameaças usam black hat SEO, anúncios de pesquisa e mídias sociais para promover os sites.
Os sites ofensivos são: No momento da escrita, todos os domínios foram retirados do ar.
A primeira campanha avistada pelos analistas da Cyble usa sites falsos do CapCut com um botão de download que entrega uma cópia do Offx Stealer no computador do usuário.
O binário do ladrão foi compilado no PyInstaller e só executará no Windows 8, 10 e 11.
Quando a vítima executa o arquivo baixado, ela recebe uma mensagem de erro falsa afirmando que o lançamento do aplicativo falhou.
No entanto, o Offx Stealer continua a operar em segundo plano.
O malware tentará extrair senhas e cookies de navegadores da web e tipos de arquivos específicos (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp e .db) da pasta de desktop do usuário.
Ele também mira dados armazenados em aplicativos de mensagens como Discord e Telegram, aplicativos de carteira de criptomoedas (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda e Zcash) e software de acesso remoto como UltraViewer e AnyDesk.
Todos os dados roubados são salvos em um diretório gerado aleatoriamente na pasta %AppData%, compactados e depois enviados aos operadores de malware em um canal privado do Telegram.
Os atores de ameaças também usam o serviço de hospedagem de arquivos AnonFiles para redundância na etapa de exfiltração.
Depois que os arquivos roubados são transmitidos aos atacantes, o diretório local criado para hospedar temporariamente os dados é excluído para apagar qualquer vestígio da infecção.
A segunda campanha envolvendo sites falsos do CapCut deixa um arquivo chamado 'CapCut_Pro_Edit_Video.rar' nos dispositivos das vítimas, contendo um script em lote que, por sua vez, aciona um script do PowerShell quando aberto.
A Cyble diz que no momento de sua análise, nenhum mecanismo antivírus sinalizaria o arquivo em lotes como malicioso, então o carregador é muito furtivo.
O script do PowerShell decifra, descompacta e carrega o payload final: o Redline Stealer e um executável .NET.
O Redline é um ladrão de informações amplamente implantado que pode agarrar dados armazenados em navegadores da web e aplicativos, incluindo credenciais, cartões de crédito e dados de auto-preenchimento.
O papel do payload .NET é contornar o recurso de segurança do Windows AMSI, permitindo que o Redline opere indetectado no sistema comprometido.
Para se proteger de malware, baixe software diretamente de sites oficiais em vez de sites compartilhados em fóruns, mídias sociais ou mensagens diretas, e certifique-se também de evitar resultados promovidos ao procurar ferramentas de software no Google.
Neste caso, o CapCut está disponível por meio do site oficial do capcut, Google Play (para Android) e App Store (para iOS).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...