С ростом популярности видеоредактора CapCut киберпреступники активно используют его имя для масштабных фишинговых атак. Как обнаружили специалисты Cofense PDC, злоумышленники рассылают поддельные уведомления о подписке, стилизованные под официальные письма CapCut. Цель - заставить пользователей ввести данные Apple ID и реквизиты банковских карт, обещая вернуть средства за несуществующую подписку.
Описание
Методика обмана проработана до мелочей: мошенники копируют фирменный стиль CapCut и Apple, чтобы вызвать доверие. Жертва, перейдя по ссылке «Отменить подписку», попадает на фальшивую страницу входа в Apple ID. Введенные логин и пароль мгновенно отправляются на сервер злоумышленников (104[.]21[.]33[.]45) через HTTP POST-запрос в открытом виде.
Но на этом атака не заканчивается. После кражи учетных данных пользователь перенаправляется на второй этап мошеннической схемы - страницу с требованием ввести данные банковской карты для «возврата денег». Система даже проверяет корректность номера карты, требуя ровно 15 или 16 цифр, что добавляет иллюзию легальности. Введенные данные также попадают к злоумышленникам.
Финал атаки - уловка для замедления обнаружения мошенничества. Пользователю показывают окно ввода кода подтверждения, но код никогда не приходит. Это затягивает процесс, заставляя жертву думать о технической ошибке, а не о краже данных.
Эксперты предупреждают: такие атаки возможны из-за слепого доверия к брендам и спешки. Чтобы не стать жертвой, всегда проверяйте URL сайтов, не вводите конфиденциальные данные по ссылкам из писем и включайте двухфакторную аутентификацию. Cofense PDC продолжает мониторинг подобных схем, но главная защита - бдительность пользователей.
Индикаторы компрометации
IPv4
- 104.21.33.43
- 104.21.33.45
- 172.67.141.41
- 99.192.255.26
URLs
- https://flashersofts.store/Applys/project/index.php
- https://yms1.ynotmail.io/clients/link.php?M=703770538&N=3194361&L=453538585&F=H
