Kibernetički kriminalci iskorištavaju sve veću popularnost aplikacije CapCut, dominantnog alata za uređivanje kratkih videozapisa, kako bi provodili sofisticirane fišing kampanje usmjerene na prikupljanje podataka o Apple ID-u i kreditnim karticama.
Ova novonastala prijetnja pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali vjerodostojnost svojih zlonamjernih shema, stvarajući uvjerljive mamce koji navode neoprezne korisnike da odaju osjetljive osobne i financijske podatke.
Kampanja upotrebljava brižljivo izrađene lažne račune za pretplatu na CapCut, distribuirane putem elektroničke pošte, predstavljajući primateljima lažne obavijesti o naplati za pretplate na CapCut Pro u iznosu od 49,99 dolara mjesečno.
Ove obmanjive komunikacije uključuju službeni CapCut brending i reference na Apple Store, čime se stvara autentičan izgled koji ulijeva povjerenje potencijalnim žrtvama.
E-poruke sadrže snažne pozive na akciju, posebno gumbe “Otkaži pretplatu”, koji služe kao početni vektor zaraze za višefazni napad.
Analitičari kompanije Cofense identificirali su ovu kampanju kao sofisticiranu dvostruku fišing operaciju osmišljenu za maksimiziranje učinkovitosti prikupljanja korisničkih podataka.
Istraživači su primijetili da su kreatori prijetnji implementirali napredne taktike socijalnog inženjeringa, kombinirajući poruke koje stvaraju osjećaj hitnosti s financijskim poticajima kako bi manipulirali žrtvama na suradnju.
Učinkovitost kampanje proizlazi iz iskorištavanja poznatosti korisnika s legitimnim pretplatničkim uslugama i njihove prirodne želje da izbjegnu neželjene naplate.
Mehanizam zaraze započinje kada žrtve kliknu na zlonamjerni gumb “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostiranu na adresi `flashersofts[.]store/Applys/project/index[.]php`.
Ova domena, potpuno nepovezana s legitimnim Appleovim uslugama, prikazuje sučelje koje izgleda autentično i oponaša službeni Appleov brending i dizajnerske elemente.
Nakon predaje vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev prema serveru za komandu i kontrolu na IP adresi `104[.]21[.]33[.]45`, prenoseći ukradene podatke o Apple ID-u u nešifriranom formatu.
Napad zatim prelazi u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Povrat Apple Paya”, tražeći podatke o kreditnoj kartici pod izlikom obrade povrata pretplate.
Kampanja završava obmanjujućim korakom provjere autentifikacijskog koda koji zapravo ne šalje nikakve kodove, neovisno o pokušajima korisnika.
Ova završna komponenta služi odgađanju sumnji kod žrtve i sprječavanju neposrednog prijavljivanja incidenta, čime se napadačima daje dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije nego što budu otkriveni.
Ovo upozorenje, koje je objavila tvrtka za kibernetičku sigurnost Cofense, naglašava rastuću tendenciju kriminalaca da koriste popularne platforme poput CapCuta kako bi prevarili korisnike. Zlonamjerni akteri su kreirali uvjerljive lažne račune za pretplate na CapCut Pro, koji stižu putem e-pošte, i često uključuju logotipe i stil CapCuta kako bi izgledali autentično. U e-porukama se korisnicima nude linkovi za otkazivanje navodnih pretplata, što je zapravo zamka. Nakon klika na link, žrtve se preusmjeravaju na lažnu stranicu za prijavu na Apple ID, dizajniranu da izgleda identično pravoj. Kada korisnik unese svoje korisničko ime i lozinku, ti podaci se šalju napadačima. Nakon toga, prikazuje se stranica koja simulira povrat sredstava putem Apple Paya, tražeći od korisnika da unesu podatke o svojoj kreditnoj kartici. Na kraju, prikazuje se lažni ekran za unos sigurnosnog koda kako bi se kupilo vrijeme i spriječilo žrtvu da odmah posumnja u prijevaru, dajući napadačima više vremena da zloupotrijebe prikupljene podatke. Ovo je primjer napredne socijalne inženjering metode koja iskorištava povjerenje korisnika u poznate brendove i njihovu želju da izbjegnu neželjene troškove.
