Ugledajući se na rastuću popularnost aplikacije za uređivanje kratkih video snimaka, CapCut, cyberkriminalci sada iskorištavaju njenu rasprostranjenost u svrhu izvođenja složenih phishing kampanja. Ove kampanje imaju za cilj prikupljanje osjetljivih podataka korisnika, uključujući vjerodajnice za Apple ID i podatke o kreditnim karticama. Ovakav pristup ukazuje na sve sofisticiranije metode napadača koji ciljano koriste popularne aplikacije kako bi povećali uvjerljivost svojih prevara, nudeći mamce koji navode neoprezne korisnike da odaju lične i finansijske podatke.
U sklopu ove kampanje, žrtvama se putem elektronske pošte dostavljaju pažljivo kreirani lažni računi za pretplatu na CapCut Pro, prikazujući iznos od 49.99 dolara mjesečno. Ove obmanjujuće poruke brižljivo koriste zvanični CapCut brending i reference na Apple Store, čime se postiže visok stepen uvjerljivosti i povjerenja kod potencijalnih žrtava. Komunikacija sadrži jasne pozive na akciju, poput dugmeta “Otkaži pretplatu”, koje služi kao početni vektor infekcije u ovom višefaznom napadu.
Analitičari iz kompanije Cofense identificirali su ovu kampanju kao dobro osmišljenu dvostruku phishing operaciju, čiji je primarni cilj maksimalno efikasno prikupljanje korisničkih vjerodajnica. Istraživači su primijetili da počinioci primjenjuju napredne taktike socijalnog inženjeringa, kombinujući hitnost poruka sa finansijskim motivima kako bi manipulisali žrtve na izvršavanje željenih radnji. Uspjeh ove kampanje leži u iskorištavanju korisničke upoznatosti sa legitimnim servisima pretplate i prirodne želje da se izbjegnu neželjeni troškovi.
Napad započinje kada žrtva klikne na kompromitujuće dugme “Otkaži pretplatu”, što je preusmjerava na lažnu stranicu za prijavu na Apple ID hostovanu na domenu flashersofts[.]store. Ova domena, potpuno nepovezana sa legitimnim Apple servisima, prikazuje sučelje koje autentično oponaša Appleov brending i dizajn. Nakon unošenja vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev prema komandno-kontrolnom serveru na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID vjerodajnice u nešifriranom obliku.
Nakon toga, napad prelazi u svoju drugu fazu, gdje se žrtvama prikazuje lažni interfejs za “Povrat novca putem Apple Paya”, tražeći podatke o kreditnoj kartici pod izgovorom obrade povrata sredstava za pretplatu. Kampanja se okončava obmanjujućim korakom provjere autentifikacijskog koda, koji nikada ne šalje stvarne kodove bez obzira na pokušaje korisnika. Ova završna faza služi odgađanju sumnje kod žrtve i sprečavanju trenutnog prijavljivanja incidenta, čime se napadačima omogućava dodatno vrijeme za eksploataciju prikupljenih vjerodajnica prije nego što budu otkriveni.