近日�����,Cyble的安全研究者發(fā)現(xiàn)黑客正利用假冒CapCut(剪映的海外版)官網(wǎng)將大量惡意軟件推送給毫無(wú)戒備的受害者�����。
CapCut是字節(jié)跳動(dòng)旗下TikTok的官方視頻編輯器和制作工具�,支持音樂(lè)混合、濾色器�、動(dòng)畫(huà)、慢動(dòng)作效果�����、畫(huà)中畫(huà)�、穩(wěn)定器等功能,是最流行的視頻剪輯工具之一�����。
僅在Google Play上,CapCut的下載量就超過(guò)500億次�,其網(wǎng)站每月的點(diǎn)擊量超過(guò)30萬(wàn)次���。
由于印度等國(guó)家和地區(qū)頒布了CapCut禁令���,導(dǎo)致很多用戶尋找CapCut的替代下載方式。
黑客正是利用這一點(diǎn)架設(shè)冒牌CapCut官網(wǎng)(下圖)誘騙用戶下載惡意軟件����。
據(jù)Cyble的安全研究人員報(bào)告,已經(jīng)發(fā)現(xiàn)兩個(gè)分發(fā)惡意軟件的攻擊活動(dòng)使用了假冒的CapCut網(wǎng)站��。
報(bào)告沒(méi)有提供有關(guān)受害者如何在冒牌網(wǎng)站上被引導(dǎo)的具體信息���,但通常�����,攻擊者會(huì)使用黑帽SEO�、搜索廣告和社交媒體來(lái)推廣這些網(wǎng)站����。
已經(jīng)發(fā)現(xiàn)的冒牌CapCut官網(wǎng)地址如下(截至發(fā)稿����,這些網(wǎng)站都已下線):
-
Capcut-freedownload[.].com
-
Capcutfreedownload[.].com
-
Capcut-editor-video[.].com
-
Capcutdownload[.].com
-
Capcutpc-download[.].com
攻擊活動(dòng)一:竊取賬號(hào)和加密貨幣錢包信息
Cyble分析師發(fā)現(xiàn)的第一個(gè)攻擊活動(dòng)使用了虛假的CapCut網(wǎng)站��,該網(wǎng)站頁(yè)面有下載按鈕�����,可在用戶的計(jì)算機(jī)上下載信息竊取軟件Offx Stealer����。該信息竊取軟件的二進(jìn)制文件是在PyInstaller上編譯的,只能在Windows8�����、10和11上運(yùn)行���。
當(dāng)受害者執(zhí)行下載的文件時(shí)���,會(huì)收到一條虛假錯(cuò)誤消息,聲稱應(yīng)用程序啟動(dòng)失敗。事實(shí)上Offx Stealer已經(jīng)啟動(dòng)并持續(xù)在后臺(tái)運(yùn)行����。
該惡意軟件還將嘗試從用戶的Web瀏覽器和桌面文件夾中的特定類型文件(.txt、.lua��、.pdf�����、.png�、.jpg���、.jpeg�����、.py���、.cpp和.db)中提取密碼和Cookie。此外���,還可竊取存儲(chǔ)在Discord和Telegram等消息傳遞應(yīng)用程序��,加密貨幣錢包應(yīng)用程序(Exodus����、Atomic、Ethereum�����、Coinomi��、Bytecoin��、Guarda和Zcash)以及UltraViewer和AnyDesk等遠(yuǎn)程訪問(wèn)軟件中的數(shù)據(jù)��。
所有被盜數(shù)據(jù)都保存在%AppData%文件夾中隨機(jī)生成的目錄中�����,壓縮��,然后通過(guò)私人Telegram頻道發(fā)送給惡意軟件運(yùn)營(yíng)商��。攻擊者還使用AnonFiles文件托管服務(wù)在滲透步驟中實(shí)現(xiàn)冗余��。
被盜文件傳輸給攻擊者后�����,惡意軟件將刪除為臨時(shí)托管數(shù)據(jù)而創(chuàng)建的本地目錄以擦除感染痕跡。
攻擊活動(dòng)二:竊取賬號(hào)和銀行卡信息
使用假冒CapCut網(wǎng)站的另一個(gè)攻擊活動(dòng)會(huì)在受害者的設(shè)備上存儲(chǔ)一個(gè)名為“CapCut_Pro_Edit_Video.rar”的文件����,其中包含一個(gè)批處理腳本,該腳本在打開(kāi)時(shí)又會(huì)觸發(fā)PowerShell腳本����。
由于沒(méi)有防病毒引擎會(huì)將批處理文件標(biāo)記為惡意軟件,因此該加載程序非常隱蔽���。
PowerShell腳本負(fù)責(zé)解密���、解壓縮并加載兩個(gè)有效負(fù)載:Redline Stealer和.NET可執(zhí)行文件����,攻擊鏈如下圖所示:
Redline是一種非常流行的信息竊取程序,可以獲取存儲(chǔ)在Web瀏覽器和應(yīng)用程序中的數(shù)據(jù)�����,包括憑據(jù)�����、信用卡和自動(dòng)(表單)完成數(shù)據(jù)。
.NET有效負(fù)載的作用是繞過(guò)AMSI Windows安全功能����,允許Redline在受感染的系統(tǒng)上運(yùn)行而不被發(fā)現(xiàn)。
為了遠(yuǎn)離上述惡意軟件���,建議剪映(Capcut)用戶直接從官方網(wǎng)站下載軟件���,而不是在論壇、社交媒體或私信中分享的網(wǎng)站�,并確保在搜索引擎上搜索該軟件工具時(shí),不要誤點(diǎn)廣告(防止黑帽SEO)���。
剪映海外版(CapCut)可以通過(guò)capcut.com�����,Google Play(適用于Android)和App Store等官方渠道獲得��。
