Una nuova campagna di distribuzione di malware sta prendendo di mira gli utenti di CapCut, lo strumento ufficiale di editing video e creazione di TikTok di ByteDance, sfruttandone la popolarità per diffondere diverse tipologie di malware. Gli aggressori sfruttano la popolarità dell’applicazione, unita a divieti in Taiwan, India e altrove, per spingere gli utenti a cercare modi alternativi per scaricare il programma.
Siti web clonati diffondono malware sotto le spoglie di installatori CapCut
Le alternative ricercate dagli utenti, tuttavia, si rivelano pericolose. Attori minacciosi hanno creato siti web che distribuiscono malware travestiti da installatori di CapCut. Questi siti web maligni sono stati scoperti da Cyble, che segnala di aver individuato due campagne che distribuiscono differenti tipologie di malware.
Nonostante non siano state fornite informazioni specifiche su come le vittime vengano indirizzate verso questi siti, di solito gli attori minacciosi utilizzano tecniche di black hat SEO, annunci di ricerca e social media per promuoverli.
Le due campagne di distribuzione di malware
La prima campagna individuata dagli analisti di Cyble utilizza falsi siti CapCut con un pulsante di download che consegna una copia dell’Offx Stealer sul computer dell’utente. Questo malware tenta di estrarre password e cookie dai browser web e specifici tipi di file dal desktop dell’utente, nonché dati memorizzati in applicazioni di messaggistica come Discord e Telegram, portafogli di criptovalute e software di accesso remoto. I dati rubati vengono quindi inviati agli operatori del malware tramite un canale Telegram privato.
La seconda campagna, invece, deposita un file denominato ‘CapCut_Pro_Edit_Video.rar’ sui dispositivi delle vittime, che contiene uno script batch che a sua volta attiva uno script PowerShell. Quest’ultimo decodifica, decomprime e carica il payload finale: Redline Stealer e un eseguibile .NET. Redline è un noto ladro di informazioni in grado di estrarre dati memorizzati nei browser web e nelle applicazioni, compresi credenziali, carte di credito e dati di completamento automatico.
Come proteggersi da queste minacce
Per proteggersi da malware, si consiglia di scaricare il software direttamente dai siti ufficiali invece che da siti condivisi su forum, social media o messaggi diretti, ed evitare i risultati promossi quando si cerca strumenti software su Google. Nel caso di CapCut, è disponibile attraverso capcut.com, Google Play (per Android) e l’App Store (per iOS).