Zlonamjerni akteri iskorištavaju rastuću popularnost aplikacije za uređivanje kratkih videozapisa CapCut kako bi sproveli sofisticirane ribolovne kampanje, usmjerene na prikupljanje vjerodajnica za Apple ID i podataka o kreditnim karticama. Ova nova prijetnja pokazuje kako napadači strateški koriste popularne aplikacije za povećanje vjerodostojnosti svojih zlonamjernih shema, stvarajući uvjerljive mamce koji navode neoprezne korisnike da predaju osjetljive osobne i financijske podatke.
Kampanja koristi pedantno izrađene lažne račune za pretplatu na CapCut, distribuirane putem e-pošte, predstavljajući primateljima lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 USD mjesečno. Ove obmanjujuće komunikacije uključuju službeni brend CapCut-a i reference na Apple Store, stvarajući autentičan izgled koji uljeva povjerenje kod potencijalnih žrtava. E-poruke sadrže snažne pozive na akciju, specifično gumbe “Otkaži pretplatu”, koji služe kao početni vektor zaraze za višestupanjski napad.
Analitičari Cofense-a identificirali su ovu kampanju kao sofisticiranu dvostranu ribolovnu operaciju, osmišljenu za maksimiziranje učinkovitosti prikupljanja vjerodajnica. Istraživači su primijetili da su akteri prijetnji implementirali napredne taktike društvenog inženjeringa, kombinirajući poruke koje stvaraju hitnost s financijskim poticajima kako bi manipulirali žrtve na suradnju. Učinkovitost kampanje proizlazi iz iskorištavanja poznavanja korisnika legitimnih usluga pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Napad započinje kada žrtve stupe u interakciju s zlonamjernim gumbom “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostiranu na adresi flashersofts[.]store/Applys/project/index[.]php. Ova domena, potpuno nepovezana s legitimnim Appleovim uslugama, predstavlja sučelje koje izgleda autentično i oponaša službeni Appleov brend i elemente dizajna. Nakon predaje vjerodajnica, zlonamjerna web stranica izvršava HTTP POST zahtjev na poslužitelj za zapovijedanje i upravljanje na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene vjerodajnice Apple ID-a u čistom tekstu.
Napad se zatim prebacuje na svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Povrat Apple Paya” koje zahtijeva podatke o kreditnoj kartici pod izlikom obrade povrata pretplate. Kampanja završava obmanjujućim korakom provjere koda za autentifikaciju koji zapravo nikada ne šalje kodove, bez obzira na pokušaje korisnika. Ova završna komponenta služi za odgađanje sumnje žrtve i sprječavanje neposrednog izvještavanja o incidentu, dajući napadačima dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije otkrivanja.
Upozorenje je objavljeno na web stranici cybersecuritynews.com, pružajući detaljan uvid u ovu novu prijetnju koja iskorištava široko rasprostranjenu popularnost aplikacije CapCut. Prevaranti koriste napredne taktike društvenog inženjeringa, šaljući uvjerljive lažne račune putem e-pošte koji oponašaju službene obavijesti o naplati CapCut Pro pretplate. Ove e-poruke, koje sadrže službeni brend i reference na Apple Store, imaju za cilj stvoriti lažni osjećaj legitimnosti. Ključni mamac je gumb “Otkaži pretplatu”, koji kada se klikne, preusmjerava korisnike na lažnu stranicu za prijavu na Apple ID. Nakon što korisnici unesu svoje Apple ID vjerodajnice, one se šalju napadačima, a zatim im se prikazuje lažno sučelje za povrat novca putem Apple Paya, tražeći podatke o kreditnoj kartici. Na kraju, korisnicima se predstavlja lažni zaslon za unos koda za provjeru autentičnosti, koji im sprječava da odmah posumnjaju u prijevaru i dopušta napadačima da iskoriste prikupljene podatke. Ova metodologija napada je napravljena da iskoristi povjerenje korisnika u poznate brendove i procese, čineći prijevaru uvjerljivom i učinkovitom.