Zločinci iskorištavaju popularnost CapCut-a za krađu podataka Apple ID-ja i kreditnih kartica
Kibernetički kriminalci počeli su da eksploatišu široku popularnost aplikacije CapCut, vodećeg alata za uređivanje kratkih video snimaka, kako bi provodili sofisticirane fišing kampanje usmjerene na podatke o Apple ID-ju i informacije o kreditnim karticama.
Ova rastuća prijetnja pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali kredibilitet svojih zlonamjernih šema, stvarajući uvjerljive mamce koji obmanjuju neoprezne korisnike da predaju osjetljive lične i finansijske podatke.
Kampanja napada koristi pomno izrađene lažne fakture za pretplatu na CapCut, distribuirane putem e-pošte, predstavljajući primaocima lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 dolara mjesečno.
Ove obmanjujuće komunikacije uključuju zvanični CapCut brending i reference na Apple Store, stvarajući autentičan izgled koji usađuje povjerenje kod potencijalnih žrtava.
E-poruke sadrže uvjerljive pozive na akciju, konkretno dugmad “Otkaži pretplatu”, koja služe kao početni vektor infekcije za višefazni napad.
Analitičari kompanije Cofense identificirali su ovu kampanju kao sofisticiranu dvostruku fišing operaciju osmišljenu za maksimiziranje efikasnosti prikupljanja vjerodajnica.
Istraživači su primijetili da su akteri prijetnji primijenili napredne taktike socijalnog inženjeringa, kombinujući poruke koje podstiču hitnost s financijskim poticajima kako bi manipulisali žrtvama na saradnju.
Efikasnost kampanje proizlazi iz iskorištavanja poznavanja korisnika legitimnih usluga pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Mehanizam infekcije i tehnička analiza
Napad počinje kada žrtve stupe u interakciju sa zlonamjernim dugmetom “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostovanu na adresi flashersofts[.]store/Applys/project/index[.]php.
Ovaj domen, potpuno nepovezan sa legitimnim Apple uslugama, predstavlja sučelje koje izgleda autentično, oponašajući službeni Apple brending i dizajnerske elemente.
Nakon predaje vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev na server za upravljanje i kontrolu na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID vjerodajnice u obliku čistog teksta.
Napad se zatim prebacuje u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Apple Pay povrata sredstava” koje zahtijeva podatke o kreditnoj kartici pod izgovorom obrade povrata pretplate.
Kampanja se završava obmanjujućim korakom verifikacije koda za autentifikaciju koji nikada ne šalje kodove, bez obzira na pokušaje korisnika.
Ova završna komponenta služi odlaganju sumnje žrtve i sprječavanju neposrednog prijavljivanja incidenta, dajući napadačima dodatno vrijeme da iskoriste prikupljene vjerodajnice prije detekcije.