Các trang web giả mạo CapCut phát tán mã độc đánh cắp thông tin 

Tin tặc đã tạo ra các trang web giả mạo rất giống với trang chủ của phần mềm chỉnh sửa video CapCut để đánh lừa người dùng tải xuống phần mềm độc hại.  

Các nhà nghiên cứu từ Cyble Research and Intelligence Labs (CRIL) gần đây đã phát hiện một loạt trang web lừa đảo mạo danh phần mềm chỉnh sửa video CupCut để lừa người dùng tải xuống và thực thi nhiều loại mã độc khác nhau như Offx Stealer, Redline, RAT… 

CapCut là trình chỉnh sửa và tạo video phổ biến có hơn 500 triệu lượt tải xuống trên Google Play, trang web của của Capcut có hơn 30 triệu lượt truy cập hàng tháng. 

Trước sự phổ biến của ứng dụng cùng với lệnh cấm sử dụng CapCut ở Đài Loan, Ấn Độ và một số quốc gia khác đã khiến người dùng tìm kiếm các cách khác để tải xuống ứng dụng từ các nguồn không chính thống, điều này vô tình khiến họ tải phải mã độc từ các trang web giả mạo. 

Khi người dùng tải xuống và cài đặt phần mềm giả mạo, nó sẽ thu thập thông tin đăng nhập và các dữ liệu nhạy cảm khác từ thiết bị của nạn nhân và gửi chúng đến máy chủ của kẻ tấn công.  

Các trang web giả mạo CupCut là: capcut-freedownload[.]com, capcutfreedownload[.]com, capcut-editor-video[.]com, capcutdownload[.]com, capcutpc-download[.]com. Tại thời điểm này, tất cả các tên miền này đều đã ngoại tuyến. 

CRIL đã phát hiện hai chiến dịch phát tán các chủng phần mềm độc hại khác nhau, cụ thể: 

Chiến dịch đầu tiên sử dụng các trang web CapCut giả mạo để lừa người dùng tải xuống máy tính mã độc Offx Stealer, ảnh hưởng đến các máy chạy Windows 8, 10 và 11. 

Khi nạn nhân thực thi tệp đã tải xuống, họ nhận được thông báo lỗi giả mạo cho rằng việc khởi chạy ứng dụng không thành công. Tuy nhiên, Offx Stealer vẫn tiếp tục hoạt động ở chế độ nền.  

Thông báo lỗi giả mạo 
Thông báo lỗi giả mạo

Mã độc sẽ trích xuất mật khẩu và cookie từ trình duyệt web và các loại tệp cụ thể (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp và .db) từ thư mục máy tính của người dùng. Offx Stealer cũng nhắm mục tiêu vào dữ liệu được lưu trữ trong các ứng dụng nhắn tin như Discord và Telegram, ứng dụng ví tiền điện tử (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda và Zcash) và phần mềm truy cập từ xa như UltraViewer và AnyDesk.  

Tất cả dữ liệu bị đánh cắp được lưu trữ và nén trong một thư mục được tạo ngẫu nhiên trong AppData, sau đó được gửi tới những kẻ tấn công trên một kênh Telegram riêng. Các thư mục này sẽ bị xóa ngay sau đó để xóa mọi dấu vết. 

Thư mục chứa dữ liệu bị đánh cắp 
Thư mục chứa dữ liệu bị đánh cắp

Chiến dịch thứ hai liên quan đến các trang web CapCut giả mạo tải xuống một tệp có tên ‘CapCut_Pro_Edit_Video.rar’ trên thiết bị của nạn nhân và lần lượt kích hoạt tập lệnh PowerShell khi được mở. Tập lệnh PowerShell được giải mã, giải nén và payload tải cuối cùng là Redline Stealer và tệp thực thi .NET. 

Chuỗi tấn công thứ 2 
Chuỗi tấn công thứ 2

Redline là một mã độc đánh cắp thông tin có thể lấy dữ liệu được lưu trữ trong các trình duyệt web và ứng dụng, bao gồm thông tin xác thực, thẻ tín dụng… Vai trò của tải trọng .NET là vượt qua tính năng bảo mật AMSI Windows, cho phép Redline hoạt động mà không bị phát hiện trên hệ thống bị xâm nhập. 

Để đảo bảo an toàn, người dùng được khuyến nghị tải phần mềm trực tiếp từ các trang web chính thức thay vì các trang web được chia sẻ trong diễn đàn, mạng xã hội hoặc tin nhắn trực tiếp, đồng thời tránh các kết quả được quảng cáo khi tìm kiếm các công cụ phần mềm trên Google. 

Nguồn: Bleeping Computer