Zločinci iskorištavaju popularnost CapCuta kako bi ukrali podatke o Apple ID-ju i kreditnim karticama.
Kibernetički kriminalci počeli su iskorištavati široku popularnost aplikacije CapCut, dominantne aplikacije za uređivanje kratkih videozapisa, kako bi organizirali sofisticirane phishing kampanje usmjerene na podatke o Apple ID-ju i informacije o kreditnim karticama. Ova rastuća prijetnja pokazuje kako napadači strateški koriste popularne aplikacije za povećanje vjerodostojnosti svojih zlonamjernih shema, stvarajući uvjerljive mamce koji prevare nesuđene korisnike da odaju osjetljive osobne i financijske podatke.
Kampanja napada koristi pedantno izrađene lažne fakture za pretplate na CapCut koje se distribuiraju putem e-pošte, predstavljajući primateljima lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 USD mjesečno. Ove obmanjujuće komunikacije uključuju službeni CapCut brending i reference na Apple Store, stvarajući autentičan izgled koji uliva povjerenje potencijalnim žrtvama. E-poruke sadrže uvjerljive pozive na akciju, posebno gumbe “Otkaži pretplatu”, koji služe kao početni vektor zaraze za višestupanjski napad.
Analitičari Cofense-a identificirali su ovu kampanju kao sofisticiranu dvostruku phishing operaciju dizajniranu za maksimiziranje učinkovitosti prikupljanja vjerodajnica. Istraživači su primijetili da su sudionici prijetnji implementirali napredne taktike socijalnog inženjeringa, kombinirajući poruke koje stvaraju osjećaj hitnosti s financijskim poticajima kako bi manipulirali žrtvama na suradnju. Učinkovitost kampanje proizlazi iz iskorištavanja korisnikove upoznatosti s legitimnim uslugama pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Napad započinje kada žrtve stupe u interakciju sa zlonamjernim gumbom “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostiranu na flashersofts[.]store/Applys/project/index[.]php. Ova domena, potpuno nepovezana s legitimnim Appleovim uslugama, predstavlja sučelje koje izgleda autentično i oponaša službeni Appleov brending i elemente dizajna. Nakon predaje vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev prema poslužitelju za zapovijedanje i upravljanje na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene vjerodajnice Apple ID-ja u nešifriranom formatu.
Napad se zatim prelazi u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Apple Pay povrat” koje traži podatke o kreditnoj kartici pod izlikom obrade povrata pretplate. Kampanja završava obmanjujućim korakom provjere koda za autentifikaciju koji nikada zapravo ne šalje kodove, bez obzira na pokušaje korisnika. Ova završna komponenta služi odgađanju sumnje žrtve i sprječavanju neposrednog prijavljivanja incidenta, dajući napadačima dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije otkrivanja.
