Lažna verzija popularne aplikacije CapCut krije opasne malvere

Vesti, 22.05.2023, 11:00 AM

Lažna verzija popularne aplikacije CapCut krije opasne malvere

Istraživači iz kompanije Cyble upozorili su na veb sajtove na kojima se nudi lažna verzija popularnog alata za uređivanje videa CapCut. Problem sa ovim sajtovima je što će korisnici osim lažnog alata preuzeti i neki od malvera koji dolaze u paketu sa njim.

CapCut je zvanični alat za uređivanje videa kompanije ByteDance koja je vlasnik i TikToka. CapCut podržava mešanje muzike, filtere boja, animaciju, efekte usporenog snimanja, sliku u slici, stabilizaciju i još mnogo toga.

Aplikacija ima preko 500 miliona preuzimanja samo na Google Play, a veb sajt CapCuta ima više od 30 miliona poseta mesečno.

S obzirom da je ovaj alat planetarno popularan, ali i zabranjen u nekim zemljama poput Tajvana i Indije, razumljivo je što korisnici traže alternativne načine za preuzimanje programa.

Sajber kriminalci koriste to i na svojim veb sajtovima nude popularni program koji krije malvere.

Reč je o sajtovima capcut-freedownload[.]com, capcutfreedownload[.]com, capcut-editor-video[.]com, capcutdownload[.]com, capcutpc-download[.]com. Nije jasno kako su žrtve usmeravane na ove sajtove, od kojih u ovom trenutku nijedan više ne radi.

Prva kampanja koju su uočili istraživači koristi lažne CapCut sajtove sa dugmetom za preuzimanje koje isporučuje malver Offx Stealer na računar korisnika. Ovaj malver radi samo na Windows 8, 10 i 11. Kada žrtva pokrene preuzeti fajl, dobija lažnu poruku o grešci koja tvrdi da pokretanje aplikacije nije uspelo. Međutim, Offx Stealer nastavlja da radi u pozadini.

Malver će pokušati da izdvoji lozinke i kolačiće iz veb pregledača i određenih tipova fajlova (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp, and .db) iz foldera na radnoj površini korisnika. Malver će takođe pokušati da ukrade podatke sačuvane u aplikacijama za slanje poruka kao što su Discord i Telegram, aplikacija novčanika za kriptovalute (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda i Zcash) i softvera za daljinski pristup kao što su UltraViewer i AnyDesk.

Svi ukradeni podaci se čuvaju u generisanom folderu u %AppData%, komprimuju se, a zatim šalju operaterima na privatnom Telegram kanalu, nakon čega se folder kreiran za privremeno čuvanje podataka briše kako bi se izbrisali svi tragovi infekcije.

U drugoj kampanji koja uključuje lažne CapCut sajtove žrtve preuzimaju fajl pod nazivom “CapCut_Pro_Edit_Video.rar”. Cyble kaže da u vreme kada su oni primetili kampanju nijedan antivirus nije označio ovaj fajl kao zlonameran. Ipak, u njemu je dobro sakriven poznati malver Redline Stealer i .NET izvršni fajl.

Redline je malver za krađu informacija koji može da preuzme podatke sačuvane u veb pregledačima i aplikacijama, uključujući akreditive, kreditne kartice i podatke za automatsko popunjavanje.

Uloga .NET fajla je da zaobiđe AMSI Windows bezbednosnu funkciju i omogući Redlineu da radi nesmetano na kompromitovanom sistemu.

Da biste se zaštitili od ovakvih malvera, softver uvek preuzimajte direktno sa zvaničnih sajtova, a ne sa sajtova koje ste videli na forumima, društvenim mrežama ili za koje ste link dobili preko poruke, a takođe izbegavajte plaćene oglase u rezultatima pretrage kada tražite softver na Googleu.

CapCut je dostupan na zvaničnom sajtu capcut.com, Google Play (za Android) i App Store (za iOS).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sutra se obeležava Međunarodni dan računarske bezbednosti

Sutra se obeležava Međunarodni dan računarske bezbednosti

30. novembra se obeležava Međunarodni dan računarske bezbednosti, događaj koji treba da nas podseti na važnost zaštite naših računara i život... Dalje

Hakeri napali slovenačke elektrane

Hakeri napali slovenačke elektrane

IT mreža Holdinga Slovenske elektrane (HSE), najvećeg slovenačkog proizvođača električne energije, koji je zaslužan za 60% domaće proizvodnje,... Dalje

Windows Hello autentifikacija se može zaobići na Microsoft, Dell i Lenovo laptopovima

Windows Hello autentifikacija se može zaobići na Microsoft, Dell i Lenovo laptopovima

Stručnjaci za hardversku bezbednost iz Blackwing Intelligencea otkrili su ranjivosti u sistemu za potvrdu identiteta otiskom prsta Windows Hello, pok... Dalje

Google u petak počinje sa brisanjem neaktivnih naloga: Evo šta treba da uradite da biste sačuvali nalog

Google u petak počinje sa brisanjem neaktivnih naloga: Evo šta treba da uradite da biste sačuvali nalog

Google je najavio značajne promene politike o neaktivnim nalozima, koja će stupiti na snagu kasnije ove nedelje, 1. decembra. Kompanija tvrdi da su... Dalje

Prevaranti koriste Googleov AI alat Bard za napade na korisnike društvenih mreža

Prevaranti koriste Googleov AI alat Bard za napade na korisnike društvenih mreža

Google je objavio da je preduzeo pravne mere protiv prevaranta koji su pokušali da iskoriste ime njegovog AI alata Bard i druga sredstva za širenje ... Dalje