Μια νέα εκστρατεία διανομής κακόβουλου λογισμικού βρίσκεται σε εξέλιξη, η οποία υποδύεται το εργαλείο επεξεργασίας βίντεο CapCut, για να προωθήσει διάφορα στελέχη κακόβουλου λογισμικού σε ανυποψίαστα θύματα.
Δείτε επίσης: Δύο κακόβουλα πακέτα NPM περιέχουν το TurkoRat malware
Το CapCut είναι ο επίσημος επεξεργαστής και δημιουργός βίντεο της ByteDance για το TikTok, υποστηρίζοντας μίξη μουσικής, φιλτράρισμα χρωμάτων, animations, εφέ αργής κίνησης, picture-in-picture, σταθεροποίηση και πολλά άλλα.
Μόνο στο Google Play έχει πάνω από 500 εκατομμύρια λήψεις και ο ιστότοπός του δέχεται πάνω από 30 εκατομμύρια επισκέψεις το μήνα.
Η δημοτικότητα της εφαρμογής, σε συνδυασμό με τις εθνικές απαγορεύσεις στην Ταϊβάν, την Ινδία και άλλα μέρη, ώθησε τους χρήστες να αναζητήσουν εναλλακτικούς τρόπους λήψης του προγράμματος.
Ωστόσο, οι απειλητικοί φορείς το εκμεταλλεύονται αυτό δημιουργώντας ιστότοπους που διανέμουν κακόβουλο λογισμικό μεταμφιεσμένο σε πρόγραμμα εγκατάστασης CapCut.
Η Cyble ανακάλυψε κακόβουλους ιστότοπους, αναφέροντας δύο εκστρατείες που διανέμουν διαφορετικά στελέχη κακόβουλου λογισμικού.
Δεν δόθηκαν συγκεκριμένες πληροφορίες σχετικά με τον τρόπο με τον οποίο τα θύματα κατευθύνονται σε αυτούς τους ιστότοπους, αλλά συνήθως, οι απειλητικοί φορείς χρησιμοποιούν black hat SEO, διαφημίσεις αναζήτησης και μέσα κοινωνικής δικτύωσης για την προώθησή τους.
Δείτε επίσης: Η Luxottica επιβεβαιώνει data breach γιατί εκτέθηκε database της στο διαδίκτυο
Οι ιστότοποι είναι οι παρακάτω:
- capcut-freedownload[.]com
- capcutfreedownload[.]com
- capcut-editor-video[.]com
- capcutdownload[.]com
- capcutpc-download[.]com
Τη στιγμή της σύνταξης, όλα τα domain έχουν τεθεί εκτός σύνδεσης.
Πρώτη καμπάνια
Οι αναλυτές της Cyble εντόπισαν την πρώτη εκστρατεία που χρησιμοποιούσε ψεύτικους ιστότοπους CapCut, οι οποίοι περιείχαν ένα κουμπί λήψης που παρέδιδε ένα αντίγραφο του Offx Stealer στον υπολογιστή του χρήστη.
Το binary κλοπής έχει μεταγλωττιστεί στο PyInstaller και θα τρέχει μόνο στα Windows 8, 10 και 11.
Όταν το θύμα εκτελεί το αρχείο που κατέβασε, λαμβάνει ένα ψεύτικο μήνυμα σφάλματος που ισχυρίζεται ότι η εκκίνηση της εφαρμογής απέτυχε- ωστόσο, το Offx Stealer συνεχίζει να λειτουργεί στο παρασκήνιο.
Το malware θα προσπαθήσει να εξαγάγει κωδικούς πρόσβασης και cookies από web browsers και συγκεκριμένους τύπους αρχείων (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp και .db) από τον φάκελο desktop του χρήστη.
Στοχεύει επίσης δεδομένα που είναι αποθηκευμένα σε εφαρμογές ανταλλαγής μηνυμάτων όπως το Discord και το Telegram, εφαρμογές cryptocurrency wallet (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda και Zcash) και λογισμικό απομακρυσμένης πρόσβασης όπως το UltraViewer και το AnyDesk.
Όλα τα κλεμμένα δεδομένα αποθηκεύονται σε έναν τυχαία δημιουργημένο κατάλογο στο φάκελο %AppData%, συμπιέζονται και στη συνέχεια αποστέλλονται στους χειριστές του κακόβουλου λογισμικού σε ένα ιδιωτικό κανάλι Telegram. Οι απειλητικοί φορείς χρησιμοποιούν και την υπηρεσία file hosting AnonFiles για πλεονασμό κατά το στάδιο του exfiltration.
Μετά τη διαβίβαση των κλεμμένων αρχείων στους επιτιθέμενους, το τοπικό directory που δημιουργήθηκε για την προσωρινή φιλοξενία των δεδομένων διαγράφεται για να εξαλειφθούν τυχόν ίχνη της μόλυνσης.
Δεύτερη καμπάνια
Η δεύτερη εκστρατεία που περιλαμβάνει ψεύτικα CapCut sites αποθέτει ένα αρχείο με όνομα “CapCut_Pro_Edit_Video.rar” στις συσκευές των θυμάτων, το οποίο περιέχει ένα batch script που ενεργοποιεί ένα PowerShell script όταν ανοίγει.
Η Cyble αναφέρει ότι, κατά τη στιγμή της ανάλυσής της, καμία μηχανή antivirus δεν χαρακτήρισε το batch file ως κακόβουλο, καθιστώντας έτσι τον loader ως πολύ αθόρυβο.
Το PowerShell script αποκρυπτογραφεί, αποσυμπιέζει και φορτώνει το τελικό payload: Redline Stealer και ένα εκτελέσιμο αρχείο .NET.
Το Redline είναι ένας ευρέως διαδεδομένος κλέφτης πληροφοριών (information stealer) που μπορεί να αρπάξει δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης στο διαδίκτυο και εφαρμογές, συμπεριλαμβανομένων credential, πιστωτικών καρτών και δεδομένων αυτόματης συμπλήρωσης.
Ο ρόλος του payload .NET είναι να παρακάμψει τη δυνατότητα ασφαλείας AMSI των Windows, επιτρέποντας στο Redline να λειτουργεί χωρίς εντοπισμό στο παραβιασμένο σύστημα.
Για να παραμείνετε ασφαλείς από κακόβουλο λογισμικό, κατεβάζετε λογισμικό απευθείας από επίσημα sites και όχι από sites που κοινοποιούνται σε φόρουμ, μέσα κοινωνικής δικτύωσης ή direct messages και επίσης φροντίστε να αποφεύγετε τα διαφημιστικά αποτελέσματα κατά την αναζήτηση εργαλείων λογισμικού στο Google.
Σε αυτήν την περίπτωση, το CapCut είναι διαθέσιμο μέσω του capcut.com, του Google Play (για Android) και του App Store (για iOS).
Πηγή πληροφοριών: bleepingcomputer.com
