Kibernetički kriminalci iskorištavaju sve veću popularnost aplikacije CapCut, lidera u uređivanju kratkih video sadržaja, kako bi provodili sofisticirane kampanje krađe identiteta usmjerene na Apple ID vjerodajnice i podatke o kreditnim karticama.
Ova nova prijetnja pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali uvjerljivost svojih zlonamjernih shema, stvarajući uvjerljive mamce koji navode neoprezne korisnike da predaju osjetljive osobne i financijske podatke.
Kampanja se odvija putem pažljivo izrađenih lažnih faktura za pretplatu na CapCut, koje se distribuiraju putem e-pošte. Primatelji primaju lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 USD mjesečno.
Ove prijevarne komunikacije uključuju službeni CapCut brending i reference na Apple Store, stvarajući autentičan izgled koji uliva povjerenje potencijalnim žrtvama. E-poruke sadrže uvjerljive pozive na akciju, specifično gumbe “Otkaži pretplatu”, koji služe kao početni vektor zaraze za višestupanjski napad.
Analitičari kompanije Cofense identificirali su ovu kampanju kao sofisticiranu dvostranu operaciju krađe identiteta osmišljenu kako bi se maksimizirala učinkovitost prikupljanja vjerodajnica. Istraživači su primijetili da su kreatori prijetnji implementirali napredne taktike socijalnog inženjeringa, kombinirajući poruke koje stvaraju osjećaj hitnosti s financijskim poticajima kako bi manipulirali žrtvama na suradnju.
Učinkovitost kampanje proizlazi iz iskorištavanja korisničke upoznatosti s legitimnim uslugama pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Napad započinje kada žrtve kliknu na zlonamjerni gumb “Otkaži pretplatu”, što ih preusmjerava na lažnu stranicu za prijavu na Apple ID hostiranu na domeni flashersofts[.]store/Applys/project/index[.]php. Ova domena, koja nije povezana s legitimnim Appleovim uslugama, prikazuje sučelje koje izgleda autentično, oponašajući službeni Appleov brending i dizajnerske elemente.
Nakon unosa vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev prema poslužitelju za zapovijedanje i upravljanje na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID vjerodajnice u nešifriranom obliku.
Napad zatim prelazi u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Apple Pay povrata”, koje traži podatke o kreditnoj kartici pod izlikom obrade povrata pretplate.
Kampanja se završava obmanjujućim korakom provjere autentifikacijskog koda, koji nikada ne šalje kodove, bez obzira na pokušaje korisnika. Ova završna komponenta služi za odgađanje sumnje žrtve i sprječavanje trenutnog prijavljivanja incidenta, dajući napadačima dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije otkrivanja.
