Phát hiện các trang web giả mạo CapCut để phát tán mã độc đánh cắp thông tin

Chiến dịch phát tán phần mềm độc hại mới đang được tiến hành bằng cách giả mạo công cụ chỉnh sửa video CapCut để phát tán các phần mềm độc hại khác nhau.

CapCut là công cụ chỉnh sửa và tạo video của ByteDance dành cho TikTok, hỗ trợ thêm nhạc, bộ lọc màu, hoạt ảnh (animation), hiệu ứng quay chậm,...

Chỉ riêng trên Google Play, CapCut đã có hơn 500 triệu lượt tải xuống và trang web của nó có hơn 30 triệu lượt truy cập hàng tháng.

Sự phổ biến của ứng dụng, kết hợp với các lệnh cấm trên toàn quốc ở Đài Loan, Ấn Độ và một số nơi khác, đã khiến người dùng tìm kiếm các cách khác để tải công cụ.

Các tác nhân đe dọa đã khai thác điều này bằng cách tạo ra các trang web phát tán phần mềm độc hại được ngụy trang dưới dạng phần mềm cài đặt CapCut.

Cyble đã phát hiện ra các trang web độc hại, cho biết rằng có hai chiến dịch phát tán các dòng phần mềm độc hại khác nhau.

Chưa có thông tin cụ thể về cách nạn nhân bị điều hướng đến các trang này, nhưng thông thường, những kẻ đe dọa thường sử dụng các kỹ thuật như ngộ độc SEO, quảng cáo tìm kiếm và phương tiện truyền thông xã hội để quảng bá các trang web.

Giao diện một trang web giả mạo CapCut

Các trang giả mạo đã được phát hiện, hiện không còn truy cập được, bao gồm:

- capcut-freedownload[.]com

- capcutfreedownload[.]com

- capcut-editor-video[.]com

- capcutdownload[.]com

- capcutpc-download[.]com

Chiến dịch đầu tiên

Chiến dịch đầu tiên được các nhà phân tích của Cyble phát hiện sử dụng các trang web CapCut giả mạo để lây nhiễm phần mềm độc hại Offx Stealer trên máy tính của nạn nhân. Tệp thực thi của mã độc được biên dịch trên PyInstaller và chỉ chạy được trên Windows 8, 10 và 11.

Khi tệp đã tải xuống được thực thi, nạn nhân sẽ nhận được một thông báo lỗi không có thật, thông báo rằng việc khởi chạy ứng dụng không thành công. Tuy nhiên, Offx Stealer vẫn tiếp tục hoạt động ở chế độ ngầm.

Thông báo lỗi giả mạo (Cyble)

Phần mềm độc hại sẽ cố gắng trích xuất mật khẩu và cookie từ trình duyệt web và các loại tệp cụ thể (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp và .db) từ thư mục máy tính để bàn của người dùng.

Nó cũng thu thập dữ liệu được lưu trữ trong các ứng dụng nhắn tin như Discord và Telegram, ứng dụng ví điện tử (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda và Zcash) và phần mềm truy cập từ xa như UltraViewer và AnyDesk.

Tất cả dữ liệu bị đánh cắp được lưu trong một thư mục tạm thời được tạo ngẫu nhiên trong thư mục %AppData%, được nén và sau đó được gửi tới kẻ tấn công qua một kênh Telegram riêng. Các tác nhân đe dọa còn sử dụng thêm dịch vụ lưu trữ tệp AnonFiles trong bước trích xuất. Sau khi dữ liệu bị đánh cắp được chuyển đến những kẻ tấn công, thư mục được tạo để lưu trữ tạm thời sẽ bị xóa để xóa các dấu vết lây nhiễm.

Chiến dịch thứ hai

Chiến dịch thứ hai liên quan đến các trang CapCut giả mạo cung cấp một tệp có tên 'CapCut_Pro_Edit_Video.rar' dùng để kích hoạt một tập lệnh PowerShell khi được mở trên thiết bị của nạn nhân. Cyble cho biết rằng tại thời điểm phân tích, không có công cụ quét vi-rút nào phát hiện tệp này là độc hại.

Tập lệnh PowerShell sẽ giải mã, giải nén và tải về payload bổ sung, bao gồm Redline Stealer và tệp thực thi .NET. Redline là một mã độc đánh cắp thông tin với khả năng lấy cắp dữ liệu được lưu trữ trong các trình duyệt web và ứng dụng, bao gồm thông tin xác thực, thẻ tín dụng và dữ liệu tự động hoàn thành. Tệp .NET được dùng để vượt qua tính năng bảo mật AMSI Windows, cho phép Redline hoạt động mà không bị phát hiện trên hệ thống bị xâm nhập.

Để giữ an toàn khỏi phần mềm độc hại, hãy tải xuống phần mềm trực tiếp từ các trang web chính thức thay vì các trang web được chia sẻ trong diễn đàn, mạng xã hội hoặc tin nhắn, đồng thời tránh các kết quả được quảng cáo khi tìm kiếm các công cụ phần mềm trên Google.

Trong trường hợp này, CapCut hiện có sẵn thông qua capcut.com, Google Play (dành cho Android) và App Store (dành cho iOS).

Nguồn: bleepingcomputer.com.