Zločinci koriste popularnost CapCut-a za krađu podataka o Apple ID-ju i kreditnim karticama
Kibernetički kriminalci počeli su iskorištavati široku popularnost aplikacije CapCut, dominantne aplikacije za uređivanje kratkih video zapisa, kako bi pokrenuli sofisticirane phishing kampanje usmjerene na prikupljanje podataka o Apple ID-ju i informacijama o kreditnim karticama.
Ova nova prijetnja pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali kredibilitet svojih zlonamjernih shema, stvarajući uvjerljive mamce koji obmanjuju nesuđene korisnike da im predaju osjetljive osobne i financijske podatke.
Kampanja napada koristi pomno izrađene lažne fakture za pretplatu na CapCut koje se distribuiraju putem e-pošte, predstavljajući primateljima lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 USD mjesečno.
Ove obmanjujuće komunikacije uključuju službeno brendiranje CapCut-a i reference na Apple Store, stvarajući autentičan izgled koji ulijeva povjerenje kod potencijalnih žrtava.
E-poruke sadrže uvjerljive pozive na akciju, specifično gumbe “Otkaži pretplatu”, koji služe kao početni vektor zaraze za višefazni napad.
Analitičari Cofense-a identificirali su ovu kampanju kao sofisticiranu dvostranu phishing operaciju osmišljenu za maksimiziranje učinkovitosti prikupljanja vjerodajnica.
Istraživači su primijetili da su akteri prijetnji primijenili napredne taktike socijalnog inženjeringa, kombinirajući poruke koje potiču na hitnost s financijskim poticajima kako bi manipulirali žrtvama na suradnju.
Učinkovitost kampanje proizlazi iz iskorištavanja korisnikove upoznatosti s legitimnim uslugama pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Mehanizam infekcije i tehnička analiza
Napad započinje kada žrtve stupe u interakciju sa zlonamjernim gumbom “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu Apple ID-ja hostiranu na flashersofts[.]store/Applys/project/index[.]php.
Ova domena, potpuno nepovezana s legitimnim Appleovim uslugama, prikazuje sučelje koje izgleda autentično i oponaša službeno brendiranje i dizajnerske elemente Applea.
Nakon predaje vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev prema poslužitelju za zapovijedanje i upravljanje na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID vjerodajnice u formatu čistog teksta.
Napad zatim prelazi u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Apple Pay povrat” koje traži podatke o kreditnoj kartici pod izlikom obrade povrata pretplate.
Kampanja završava obmanjujućim korakom provjere koda za autentifikaciju koji nikada zapravo ne šalje kodove, bez obzira na pokušaje korisnika.
Ova završna komponenta služi odgodi sumnje žrtve i sprječavanju neposrednog izvješćivanja o incidentu, dajući napadačima dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije otkrivanja.
