Zloćudne aktere, koristeći sveprisutnu popularnost aplikacije za uređivanje kratkih video snimaka CapCut, pokreću sofisticirane fišing kampanje usmjerene na krađu Apple ID akreditiva i podataka o kreditnim karticama. Ovaj novi oblik prijetnje demonstrira kako napadači vješto iskorištavaju trendovske aplikacije kako bi povećali kredibilitet svojih zlonamjernih šema, stvarajući uvjerljive mamce koji prevare neoprezne korisnike da odaju osjetljive lične i finansijske podatke.
Kampanja primjenjuje pedantno izrađene lažne fakture za pretplatu na CapCut, distribuirane putem elektronske pošte. Primaoci dobijaju lažna obavještenja o naplati za pretplate na CapCut Pro, u iznosu od 49,99 dolara mjesečno. Ove obmanjujuće komunikacije uključuju zvanično brendiranje CapCut-a i reference na Apple Store, čime se stvara autentičan izgled koji uliva povjerenje kod potencijalnih žrtava. U mejlovima se nalaze primamljivi pozivi na akciju, specifično dugmad “Otkaži pretplatu”, koja služe kao početni vektor infekcije za višestepeni napad.
Analitičari kompanije Cofense identifikovali su ovu kampanju kao sofisticiranu dvostranu fišing operaciju, osmišljenu radi efikasnog prikupljanja akreditiva. Istraživači su primijetili da su akteri prijetnji implementirali napredne taktike socijalnog inženjeringa, kombinujući hitnost poruka sa finansijskim podsticajima kako bi manipulisali žrtvama na saradnju. Učinkovitost kampanje proizlazi iz iskorištavanja poznatosti korisnika sa legitimnim uslugama pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Napad započinje kada žrtve stupe u interakciju sa zlonamjernim dugmetom “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostovanu na adresi flashersofts[.]store/Applys/project/index[.]php. Ovaj domen, potpuno nepovezan sa legitimnim Appleovim uslugama, predstavlja autentično izgledajući interfejs koji oponaša zvanično brendiranje i dizajnerske elemente Applea. Nakon slanja akreditiva, zlonamjerni sajt izvršava HTTP POST zahtjev prema serveru komande i kontrole na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID akreditive u formatu običnog teksta.
Napad se zatim prebacuje na drugu fazu, prezentujući žrtvama lažni interfejs “Povrat novca putem Apple Paya”, koji traži podatke o kreditnoj kartici pod izgovorom obrade povrata novca za pretplatu. Kampanja se završava obmanjujućim korakom provjere autentifikacionog koda, koji zapravo nikada ne šalje kodove, bez obzira na pokušaje korisnika. Ova završna komponenta služi za odlaganje sumnje žrtava i sprečavanje neposrednog prijavljivanja incidenta, dajući napadačima dodatno vrijeme za eksploataciju prikupljenih akreditiva prije nego što budu otkriveni.
Ovo upozorenje je objavljeno na mreži, a detaljnije informacije su dostupne na blogu kompanije, čime se naglašava aktuelnost i širenje ove prijetnje u digitalnom prostoru. Prijetnja je povezana sa konkretnim, nedavnim događajima u sajber bezbjednosti gdje napadači ciljaju na korisnike popularnih aplikacija. Metodologija napada, pojednostavljeno rečeno, funkcionira tako što prevaranti šalju mejlove koji izgledaju kao zvanična obavještenja o naplati za pretplate na aplikaciju CapCut. Korisnike uvjeravaju da su pretplaćeni na neku uslugu koju možda nisu naručili, te im nude jednostavno rješenje – da kliknu na dugme za otkazivanje pretplate. Kada korisnik klikne na to dugme, biva preusmjeren na lažnu stranicu koja imitira stranicu za prijavu na Apple ID, tražeći od njega da unese svoje korisničko ime i lozinku. Nakon što žrtva unese svoje podatke, prevaranti ih koriste da ukradu Apple ID. Da bi prevara bila još uvjerljivija i kako bi dodatno oštetili žrtvu, napadači nakon krađe Apple ID-a prikazuju lažnu stranicu za povrat novca gdje traže podatke o kreditnoj kartici, navodno radi obrade povrata sredstava za tu imaginarnu pretplatu. Ova strategija maksimalno iskorištava povjerenje koje korisnici imaju u poznate brendove i aplikacije, te želju za rješavanjem potencijalnih finansijskih problema.
