Zločinci koriste popularnost aplikacije CapCut za krađu podataka o Apple ID-ju i kreditnim karticama.
Kriminalci su počeli da iskorištavaju široku popularnost aplikacije CapCut, dominantne platforme za uređivanje kratkih video zapisa, kako bi organizovali sofisticirane fišing kampanje usmjerene na podatke o Apple ID-ju i informacije o kreditnim karticama. Ovaj novi vid prijetnje pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali kredibilitet svojih zlonamjernih šema, stvarajući uvjerljive mamce koji prevare neoprezne korisnike da im predaju osjetljive lične i finansijske podatke.
Kampanja napada koristi pažljivo izrađene lažne fakture za pretplatu na CapCut, koje se distribuiraju putem e-pošte. Primaoci dobijaju lažna obavještenja o naplati za pretplatu na CapCut Pro po cijeni od 49,99 dolara mjesečno. Ove obmanjujuće komunikacije uključuju zvanično brendiranje CapCut-a i reference na Apple Store, čime se stvara autentičan izgled koji uliva povjerenje potencijalnim žrtvama. E-poruke sadrže uvjerljive pozive na akciju, specifično dugmad “Otkažite pretplatu”, koja služe kao početni vektor infekcije za višefazni napad.
Analitičari kompanije Cofense identifikovali su ovu kampanju kao sofisticiranu dvostruku fišing operaciju osmišljenu za maksimiziranje efikasnosti prikupljanja korisničkih akreditacija. Istraživači su primijetili da su akteri prijetnje implementirali napredne taktike socijalnog inženjeringa, kombinujući poruke koje stvaraju osjećaj hitnosti sa finansijskim podsticajima kako bi manipulisali žrtvama na saradnju. Učinkovitost kampanje proizlazi iz iskorištavanja korisnikove upoznatosti sa legitimnim uslugama pretplate i njihove prirodne želje da izbjegnu neželjena terećenja.
Napad počinje kada žrtve stupe u interakciju sa zlonamjernim dugmetom “Otkažite pretplatu”, koje ih preusmjerava na lažnu stranicu za prijavu na Apple ID hostovanu na adresi flashersofts[.]store/Applys/project/index[.]php. Ovaj domen, potpuno nepovezan sa legitimnim Apple uslugama, predstavlja sučelje koje izgleda autentično i oponaša zvanično Apple brendiranje i dizajnerske elemente. Nakon predaje akreditacija, zlonamjernna stranica izvršava HTTP POST zahtjev prema serveru za komandu i kontrolu na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID akreditacije u obliku običnog teksta.
Napad zatim prelazi u drugu fazu, predstavljajući žrtvama lažno sučelje “Povrat sredstava Apple Pay”, koje zahtijeva podatke o kreditnoj kartici pod izgovorom obrade povrata novca za pretplatu. Kampanja se završava obmanjujućim korakom provjere koda za autentifikaciju koji nikada zapravo ne šalje kodove, bez obzira na pokušaje korisnika. Ova posljednja komponenta služi za odgađanje sumnje kod žrtve i sprječavanje neposrednog prijavljivanja incidenta, dajući napadačima dodatno vrijeme za eksploataciju prikupljenih akreditacija prije otkrivanja.
Upozorenje je objavljeno na sajtu Cybersecurity News, te je prošireno putem bloga kompanije Cofense. Ova kampanja služi kao jasan primjer kako cyberkriminalci koriste rastuću popularnost softvera kao što je CapCut, koji milioni korisnika svakodnevno koriste, za svoje zloćudne namjere. Metodologija napada je naizgled jednostavna, a ipak izuzetno efikasna. Prevaranti šalju e-poštu koja izgleda kao zvanično obavještenje o pretplati na CapCut Pro, često naplaćujući iznos od 49,99 dolara. U e-poruci se nalazi dugme “Otkaži pretplatu”. Kada korisnik klikne na ovo dugme, biva preusmjeren na lažnu web stranicu koja imitira izgled Appleovog sistema za prijavu. Na toj stranici, korisnik je primoran da unese svoje Apple ID i lozinku. Nakon uspješnog preuzimanja tih podataka, prevaranti prikazuju lažnu stranicu za povrat novca putem Apple Paya, tražeći od žrtve da unese podatke svoje kreditne kartice kako bi navodno primila povrat novca. U završnoj fazi, traži se unos verifikacionog koda, koji se nikada ne šalje, čime se dodatno odlaže sumnja žrtve i daje prevarantima više vremena za zloupotrebu ukradenih podataka.