Çeşitli kötü amaçlı yazılım suşlarını şüpheli olmayan kurbanlara itmek için Capcut Video Düzenleme Aracını taklit ediyor.
Capcut, Müzik Karıştırma, Renk Filtreleri, Animasyon, Slow-MO efektleri, resim, stabilizasyon ve daha fazlasını destekleyen Tiktok'un resmi video editörü ve üreticisidir.
Google Play'de sadece 500 milyondan fazla indirme var ve web sitesi aylık 30 milyondan fazla isabet alıyor.
Uygulamanın popülaritesi, Tayvan, Hindistan ve diğer yerlerde ülke çapında yasaklarla birleştiğinde, kullanıcıları programı indirmenin alternatif yollarını aramaya zorladı.
Bununla birlikte, tehdit aktörleri, kaput montajcıları olarak gizlenmiş kötü amaçlı yazılımları dağıtan web siteleri oluşturarak bunu kullanırlar.
Kötü niyetli web siteleri, farklı kötü amaçlı yazılım suşları dağıtan iki kampanyayı gördüğünü bildiren Cyble tarafından keşfedildi.
Mağdurların bu sitelere nasıl yönlendirildiği hakkında özel bir bilgi sağlanmadı, ancak tipik olarak tehdit aktörleri, siteleri tanıtmak için siyah şapka SEO, arama reklamları ve sosyal medya kullanıyor.
Rahatsız edici web siteleri:
Yazma sırasında, tüm alanlar o zamandan beri çevrimdışı alınmıştır.
Cyble analistleri tarafından tespit edilen ilk kampanya, kullanıcının bilgisayarında Offx Stealer'ın bir kopyasını sunan bir indirme düğmesine sahip sahte kapak siteleri kullanıyor.
Stealer ikili Pyinstaller üzerinde derlendi ve sadece Windows 8, 10 ve 11'de çalışacak.
Mağdur indirilen dosyayı yürüttüğünde, başvurunun başlatılmasının başarısız olduğunu iddia eden sahte bir hata mesajı alırlar. Ancak, Offx Stealer arka planda çalışmaya devam ediyor.
Kötü amaçlı yazılım, web tarayıcılarından ve belirli filetyp'lerden (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp ve .db) kullanıcının masaüstü klasöründen çıkarmaya çalışacaktır.
Ayrıca Discord ve Telegram, kripto para birimi cüzdan uygulamaları (Çıkış, Atomik, Ethereum, Coinomi, Bytecoin, Guarda ve Zcash) ve UltraViewer ve Anydesk gibi uzaktan erişim yazılımlarında saklanan verileri de hedefler.
Çalıntı tüm veriler, % AppData % klasöründe rastgele oluşturulan bir dizinde kaydedilir, fermuar ve daha sonra özel bir telgraf kanalındaki kötü amaçlı yazılım operatörlerine gönderilir. Tehdit aktörleri ayrıca pesfiltrasyon adımında yedekleme için anonfiles dosya barındırma hizmetini kullanır.
Çalınan dosyalar saldırganlara iletildikten sonra, enfeksiyonun izlerini silmek için verileri geçici olarak barındırmak için oluşturulan yerel dizin silinir.
Sahte kaput sitelerini içeren ikinci kampanya, kurbanların cihazlarına 'capcut_pro_edit_video.rar' adlı bir dosya bırakır ve açıldığında bir PowerShell betiğini tetikleyen bir parti komut dosyası içerir.
Cyble, analizinde, hiçbir antivirüs motorunun toplu dosyayı kötü niyetli olarak işaretlemeyeceğini söylüyor, bu nedenle yükleyici çok gizli.
PowerShell komut dosyası, son yükü şifresini çözer, çözer ve yükler: Redline Stealer ve .NET Yürütülebilir.
Redline, kimlik bilgileri, kredi kartları ve otomatik tamamlama verileri de dahil olmak üzere web tarayıcılarında ve uygulamalarında depolanan verileri alabilen yaygın olarak dağıtılmış bir bilgi çalmacıdır.
.NET yükünün rolü, AMSI Windows Güvenlik özelliğini atlamaktır ve Redline'ın tehlikeye atılan sistemde tespit edilmemiş çalışmasına izin vermektir.
Kötü amaçlı yazılımlardan korumak için, forumlarda, sosyal medyada veya doğrudan mesajlarda paylaşılan siteler yerine yazılımı doğrudan resmi sitelerden indirin ve ayrıca Google'da yazılım araçlarını ararken tanıtılan sonuçlardan kaçındığınızdan emin olun.
Bu durumda, Capcut Capcut.com, Google Play (Android için) ve App Store (iOS için) aracılığıyla kullanılabilir.
Kötü niyetli Microsoft VSCODE uzantıları şifreleri çalın, uzaktan kabukları açın
Dikkat etmek için yeni info-açılış kötü amaçlı yazılım operasyonları
Facebook, yeni Dodealer Bilgi Çalma Kötü Yazılımlarını bozar
Yeni Atomik MacOS Info-Dirençli Kötü Yazılım Hedefleri 50 Kripto Cüzdan
Avrupa ve ABD'de Evilextractor kötü amaçlı yazılım etkinlikleri artışları
Kaynak: Bleeping Computer