Kampanye distribusi malware baru sedang berlangsung meniru alat pengeditan video CapCut untuk mendorong berbagai jenis malware ke korban yang tidak menaruh curiga.
CapCut adalah editor dan pembuat video resmi ByteDance untuk TikTok, mendukung pencampuran musik, filter warna, animasi, efek slow-mo, gambar-dalam-gambar, stabilisasi, dan banyak lagi.
Ini memiliki lebih dari 500 juta unduhan di Google Play saja, dan situs webnya menerima lebih dari 30 juta klik setiap bulan.
Popularitas aplikasi tersebut, dikombinasikan dengan larangan nasional di Taiwan, India, dan tempat lain, telah mendorong pengguna untuk mencari cara alternatif untuk mengunduh program tersebut.
Namun, pelaku ancaman mengeksploitasi ini dengan membuat situs web yang mendistribusikan malware yang menyamar sebagai penginstal CapCut.
Situs web berbahaya ditemukan oleh Cybleyang melaporkan melihat dua kampanye mendistribusikan strain malware yang berbeda.
Tidak ada informasi spesifik tentang bagaimana korban diarahkan ke situs ini, tetapi biasanya, pelaku ancaman menggunakan SEO topi hitam, iklan penelusuran, dan media sosial untuk mempromosikan situs.
Sumber: BleepingComputer
Situs web yang menyinggung adalah:
- capcut-freedownload[.]com
- capcutfreedownload[.]com
- capcut-editor-video[.]com
- capcutdownload[.]com
- capcutpc-download[.]com
Pada saat penulisan, semua domain telah diambil offline.
Kampanye pertama
Kampanye pertama yang ditemukan oleh analis Cyble menggunakan situs CapCut palsu yang menampilkan tombol unduh yang mengirimkan salinan Offx Stealer di komputer pengguna.
Biner pencuri dikompilasi di PyInstaller dan hanya akan berjalan di Windows 8, 10, dan 11.
Saat korban mengeksekusi file yang diunduh, mereka mendapatkan pesan kesalahan palsu yang menyatakan bahwa peluncuran aplikasi telah gagal. Namun, Offx Stealer terus beroperasi di latar belakang.
Malware akan mencoba mengekstrak kata sandi dan cookie dari browser web dan tipe file tertentu (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp, dan .db) dari folder desktop pengguna.
Itu juga menargetkan data yang disimpan dalam aplikasi perpesanan seperti Discord dan Telegram, aplikasi dompet cryptocurrency (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda, dan Zcash), dan perangkat lunak akses jarak jauh seperti UltraViewer dan AnyDesk.
Semua data yang dicuri disimpan dalam direktori yang dibuat secara acak di folder %AppData%, di-zip, dan kemudian dikirim ke operator malware di saluran Telegram pribadi. Pelaku ancaman juga menggunakan layanan hosting file AnonFiles untuk redundansi dalam langkah eksfiltrasi.
Setelah file yang dicuri dikirim ke penyerang, direktori lokal yang dibuat untuk hosting sementara data dihapus untuk menghapus jejak infeksi.
Kampanye kedua
Kampanye kedua yang melibatkan situs CapCut palsu menjatuhkan file bernama ‘CapCut_Pro_Edit_Video.rar’ di perangkat korban, berisi skrip batch yang, pada gilirannya, memicu skrip PowerShell saat dibuka.
Cyble mengatakan bahwa pada saat analisisnya, tidak ada mesin antivirus yang menandai file batch sebagai berbahaya, sehingga pemuatnya sangat tersembunyi.
Skrip PowerShell mendekripsi, mendekompresi, dan memuat muatan akhir: Redline Stealer dan .NET yang dapat dieksekusi.
Redline adalah pencuri informasi yang digunakan secara luas yang dapat mengambil data yang disimpan di browser web dan aplikasi, termasuk kredensial, kartu kredit, dan data pelengkapan otomatis.
Peran muatan .NET adalah untuk mem-bypass fitur keamanan Windows AMSI, memungkinkan Redline beroperasi tanpa terdeteksi pada sistem yang disusupi.
Agar tetap aman dari malware, unduh perangkat lunak langsung dari situs resmi daripada situs yang dibagikan di forum, media sosial, atau pesan langsung, dan pastikan juga untuk menghindari hasil yang dipromosikan saat menelusuri alat perangkat lunak di Google.
Dalam hal ini, CapCut tersedia melalui capcut.com, Google Play (untuk Android), dan Toko aplikasi (untuk iOS).
