Investigadores de Cyble Research and Intelligence Labs (CRIL), una empresa que busca amenazas cibernéticas, han descubierto una serie de sitios web que se hacen pasar por CapCut, un software de edición de video, para robar la información de los usuarios, una modalidad de ciberataque denominado phishing.
En su artículo, los investigadores de CRIL informan que los atacantes están creando sitios web clonados de CapCut para que los usuarios descarguen un malware, un software malicioso. Estos web clonados son páginas falsas que imitan la apariencia de inicio de sesión de sitios de CapCut.
CapCut es una aplicación de edición de video muy utilizada actualmente con más de 500 millones de descargas solo en Google Play y su sitio web recibe más de 30 millones de visitas mensuales. La aplicación permite a los usuarios crear y editar videos cortos con herramientas de edición avanzada. La aplicación es propiedad de la empresa china Bytedance, que también es dueña de TikTok.
Además de los sitios web clonados, los atacantes también están utilizando correos electrónicos que se hacen pasar por legítimos, pero contienen enlaces a sitios web maliciosos que imitan la apariencia de la página de inicio de sesión de CapCut.
Lea también: Nuevo troyano oculto en la aplicación de Android
En una de las campañas observadas por los investigadores de Cyble, se obtuvo un sitio web de phishing para alojar el Offx Stealer. En otro caso, los actores de amenazas también utilizaron un sitio de phishing para alojar el malware BatLoader y entregar RedLine Stealer al sistema objetivo. Esto significa que los sitios web de phishing vienen precargados con RAT (acceso remoto) y malware.
Offx es un malware que se ejecuta en los sistemas operativos Windows 8, 10 y 11. Una vez instalado, muestra un mensaje de error a la víctima mientras continúa funcionando en segundo plano. Por otro lado, RedLine Stealer es un malware capaz de robar las contraseñas que tengamos almacenadas en nuestro navegador.
Los atacantes utilizan técnicas de ofuscación para evitar la detección por parte de los motores de búsqueda y de los programas antivirus. Estas técnicas incluyen el uso de nombres de archivos engañosos, el cifrado de código malicioso y la ocultación de archivos en capas de archivos comprimidos.
Lea también: AhRat: Nuevo troyano oculto en la aplicación de Android
Una vez que los usuarios descargan el malware, este comienza a robar información de sus dispositivos. El malware en cuestión es un troyano de acceso remoto (RAT) que permite a los atacantes tomar el control completo del dispositivo previsto.
El malware puede robar información personal, incluyendo contraseñas, información de tarjetas de crédito y otros datos confidenciales. Además, puede permitir a los atacantes espiar a los usuarios, tomar capturas de pantalla y grabar la actividad del usuario en su dispositivo.
El malware mencionado en el informe permite a los actores maliciosos extraer datos almacenados en navegadores web, como contraseñas, cookies, información de tarjetas de crédito y tipos de archivos específicos (.txt, .lua, .pdf, .png, .jpg, . jpeg, .py, .cpp y .db de la carpeta del escritorio del usuario
También extrae los datos almacenados en aplicaciones, de mensajería como Discord y Telegram, y la capacidad de robar datos de monederos de criptomonedas y software de acceso remoto como UltraViewer y AnyDesk
Cómo opera Offx Stealer
El malware una vez descargado y ejecutado por la víctima, muestra una ventana emergente con un mensaje de error falso afirmando que el lanzamiento de la aplicación ha fallado. Sin embargo, Offx Stealer sigue funcionando en segundo plano sin el conocimiento del usuario.
Después que el malware recopile todos los datos necesarios estos se guardan en un directorio generado aleatoriamente en la carpeta %AppData%, se comprimen y luego se envían a los operadores de malware en un canal privado de Telegram.
Una vez que los archivos robados estén en las manos de los atacantes, el directorio local creado para almacenar temporalmente los datos se eliminará para borrar cualquier rastro de la infección.
Cómo opera RedLine Stealer
Redline Stealer es un ladrón de información de los navegadores web de los equipos de sus víctimas, como cookies, claves guardadas, datos de autocompletar, información de tarjetas de crédito, credenciales de inicio de sesión VPN, registros de chat.
Cyble descubrió que la 2da campaña imvolucrada se llama capcut-freedownload.com, otro sitio web falso que alberga un archivo rar llamado CapCut_Pro_Edit_Video.rar que contiene un fragmento de código por lotes que activa un script de PowerShell cuando se inicia en los dispositivos de las víctimas.
Estas acciones implican el descifrado, la descompresión y carga la carga de Redline Stealer y un ejecutable .NET.
La función de la carga útil de .NET es engañar la función de seguridad de Windows AMSI (Interfaz de análisis antimalware, un componente de Microsoft Windows que permite una inspección más profunda a los servicios integrados), lo que permite que Redline funcione sin ser detectado en el sistema comprometido.
Cyble afirma que en el momento de su análisis, ningún proveedor de antivirus detectó el archivo por lotes como malicioso, por lo que el cargador pasa desapercibido.
Eso es solo el último ejemplo de un problema de seguridad que afecta a las aplicaciones de redes sociales y de edición de video. A medida que estas aplicaciones se vuelven más populares, también se define en un objetivo más atractivo para los ciberdelincuentes.
Conclusiones
En conclusión, este artículo destaca los diferentes métodos que están utilizando los atacantes para dañar la seguridad de los usuarios de CapCut. Si eres usuario de CapCut, es importante que estés al tanto de estos riesgos y que tomes medidas para proteger tu información personal y tus dispositivos.
Esto incluye a que cambies tu contraseña y que estés atento a cualquier actividad sospechosa en tu cuenta. También es recomendable que utilice contraseñas diferentes para cada una de sus cuentas en línea y que active la autenticación de dos factores siempre que sea posible.
____________________________
[Desde Guna Yala, un artículo de Morbeb Tech]
