Cyble Research and Intelligence Labs (CRIL) недавно обнаружила серию фишинговых сайтов, выдающих себя за программное обеспечение для редактирования видео. Эти мошеннические сайты заманивают пользователей загрузить и выполнить различные типы вредоносных программ, таких как крадущие программы, RAT и т.д. В этих кампаниях агенты угроз (АУ) специально выбрали инструмент для редактирования видео CapCut, продукт ByteDance, той же материнской компании, которая владеет TikTok.
Растущая популярность этого приложения в разных странах сделала его привлекательным для ТА в течение последних нескольких лет. Более того, после запрета CapCut в Тайване, Индии и некоторых других странах пользователи могут активно искать альтернативные способы загрузки приложения, неосознанно подвергая себя риску столкнуться с этими вредоносными веб-сайтами.
Несколько ТП использовали фишинговый сайт CapCut в качестве платформы для распространения различных семейств вредоносных программ. В одном примечательном случае на фишинговом сайте размещался похититель Offx, а в другой кампании фишинговый сайт служил хостом для BatLoader, который впоследствии доставлял похитителя redline на целевые системы.
Indicators of Compromise
Domains
- capcutdownload.com
- capcut-editor-video.com
- capcutfreedownload.com
- capcut-freedownload.com
- capcutpc-download.com
MD5
- 7876ff8df973e126f512169fb021c85a
- 8eac2855d5a48ec13d6d71a463f40e27
- 919892434c49fa33abb1fa9eae64355c
- ae9ca12bd7d797aa7dc7fe4b8584251f
- fc959c2a5b46b1b51003c688cdc384fa
SHA1
- 558d420e943e28399915ff504be8b188b7445296
- 825c448b5ef5f85e13aae802ca31532f0cf3cae4
- 9f68f5c80fbf35cce6f3a1309ae4ef1acd81f631
- b8725a0c47ac37475134996bb1711f61ce73279e
- bd62756f0c9a7b1351d95a4f89e4a2703fe3e8b1
SHA256
- 0e06d91d1d9e7cecc1c2553076fd0df71fc4fe2081b7bd0b6dd25b0ce6b98788
- 3eb99ff875dd397b5beed12e3662984cc4afdea2ff6998155b9c74869050d93c
- 8dd5d02bb6313997fcaa6515ccb2308c37a81374baef188554ba20d23602c01c
- e68c2cb879dfb35b9685e966ec0e9f461d2085e67a284888bf2deec93040359c
- e9e17c06b5fb1dd95e9622703f8ea55be67ceb6435e7aba688784a854c85aef2