【橋唔怕舊】小心冒牌 CapCut!散播惡意軟件偷資料
平時剪輯影片,我們都會利用不同的工具剪片,務求整靚段片,呃 like 兼呃 views,惟不法分子總會乘機找機會發動攻擊。近日就發現 CapCut 的冒牌影片編輯工具,正將惡意軟件散播!果然假扮正牌,再放入隱藏惡意內容,仍然是黑客最常用的方法之一。
CapCut 是 ByteDance 為 TikTok 而設的官方影片剪輯製作軟件,支援音樂混音、濾色、動畫、慢動作、畫中畫、穩定器等功能。正版的 CapCut 僅在 Google Play 上的下載量,就已經超過 5 億次,而其網站每月的點擊量則有超過 3,000 萬次。
該應用程式大受歡迎,但在台灣、印度和其他地方因下了全國性禁令,令用戶尋求其他下載程式的方法,而這就正中不法分子的下懷——偽裝成 CapCut 安裝程式的惡意軟件來行惡。
這批惡意網站由 Cyble 發現的,據指是發現了兩個傳播不同變種惡意軟件的活動。目前並沒有提供有關受害者如何被引導到這些網站的具體資料,但一般而言,不法分子會利用 black hat SEO、搜索廣告和社交媒體來推廣這些偽冒網站。
Cyble 所發現的違規網站包括:
capcut-freedownload[.]com
capcutfreedownload[.]com
capcut-editor-video[.]com
capcutdownload[.]com
capcutpc-download [.]com
目前,以上網站均已無法訪問。
第一個攻擊活動
Cyble 的分析師發現的第一個攻擊活動,是使用假冒的 CapCut 網站。這些網站包含一個下載按鈕,並會向使用者的電腦傳送 Offx Stealer 的副本。竊取程式是在 PyInstaller 上編譯的,並只能在 Windows 8、10 和 11 上運行。
當受害者執行下載文件時,他們會收到一個虛假的錯誤消息,聲稱應用程式啟動失敗。但事實是,Offx Stealer 會繼續在後台運行。
該惡意軟件將嘗試從網絡瀏覽器中,提取受害者的密碼和 cookie,並從用戶的桌面文件夾中,提取特定文件類型,包括 .txt、.lua、.pdf、.png、.jpg、.jpeg、.py、.cpp 和 .db。
它還針對儲存在 Discord 和 Telegram 等即時訊息應用程式、加密貨幣錢包應用程式(如 Exodus、Atomic、Ethereum、Coinomi、Bytecoin、Guarda 和 Zcash),以及 UltraViewer 和 AnyDesk 等遙距存取軟件中的數據。
所有被盜數據都保存在 %AppData% 文件夾中隨機生成的目錄內,並會壓縮,然後透過私人 Telegram 頻道,發送給惡意軟件的操作人員,而不法分子還使用了 AnonFiles 文件託管服務。在將被盜文件傳輸給攻擊者後,為臨時存放數據而創建的目錄將被刪除,以消除任何感染痕跡。
第二個攻擊活動
涉及假 CapCut 網站的第二個活動,是在受害者的設備上,投放了一個名為「CapCut_Pro_Edit_Video.rar」的文件,當中包含一批 Script,而當 Script 在打開時,就會觸發一個 PowerShell Script。Cyble 表示在分析時,沒有防病毒系統會將該批處理文件標記為惡意文件,可見加載的程式非常隱蔽。
PowerShell Script 解密、解壓縮和加載最終有效負載的是:Redline Stealer 和 .NET 可執行文件。
Redline 是一種廣泛部署的訊息竊取程式,可以竊取儲存在 Web 瀏覽器和應用程式中的數據,包括憑據、信用卡和自動完成數據。.NET 有效負載的作用是繞過 AMSI Windows 安全功能,允許 Redline 在受感染的系統上運行,而同時不被發現。
為了遠離惡意軟件,建議直接從官方網站下載軟件,而不是從論壇、社交媒體或直接消息中所分享的網站中下載軟件,並確保在 Google 上搜索軟件工具時,避免點入推薦結果。
要避免中伏,CapCut 應從 capcut.com、Google Play(適用於 Android)和 App Store(適用於 iOS)中取得。