Kibernetički kriminalci iskorištavaju široku popularnost CapCuta, dominantne aplikacije za uređivanje kratkih videozapisa, kako bi pokrenuli sofisticirane phishing kampanje usmjerene na vjerodajnice Apple ID-a i podatke o kreditnim karticama.
Ova novonastala prijetnja pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali kredibilitet svojih zlonamjernih shema, stvarajući uvjerljive mamce koji neoprezne korisnike navode na odavanje osjetljivih osobnih i financijskih podataka.
Napadna kampanja koristi pomno izrađene lažne fakture za pretplatu na CapCut, distribuirane putem e-pošte, predstavljajući primateljima lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 USD mjesečno.
Ove obmanjujuće komunikacije uključuju službeni CapCut brending i reference na Apple Store, stvarajući autentičan izgled koji ulijeva povjerenje potencijalnim žrtvama.
E-poruke sadrže uvjerljive pozive na akciju, posebno gumbe “Otkaži pretplatu”, koji služe kao početni vektor zaraze za višefazni napad.
Analitičari Cofense-a identificirali su ovu kampanju kao sofisticiranu dvostruku phishing operaciju osmišljenu za maksimiziranje učinkovitosti prikupljanja vjerodajnica.
Istraživači su primijetili da su akteri prijetnji implementirali napredne taktike društvenog inženjeringa, kombinirajući poruke s elementom hitnosti s financijskim poticajima kako bi manipulirali žrtvama na suradnju.
Učinkovitost kampanje proizlazi iz iskorištavanja korisničke upoznatosti s legitimnim uslugama pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
**Mehanizam zaraze i tehnička analiza**
Napad započinje kada žrtve stupe u interakciju sa zlonamjernim gumbom “Otkaži pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostiranu na flashersofts[.]store/Applys/project/index[.]php.
Ova domena, potpuno nepovezana s legitimnim Appleovim uslugama, predstavlja sučelje koje izgleda autentično i oponaša službeni Appleov brending i dizajnerske elemente.
Nakon predaje vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev na poslužitelj za zapovijedanje i kontrolu na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene vjerodajnice Apple ID-a u obliku običnog teksta.
Napad zatim prelazi u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Povrat sredstava putem Apple Paya” koje zahtijeva podatke o kreditnoj kartici pod izlikom obrade povrata pretplate.
Kampanja završava obmanjujućim korakom provjere koda za autentifikaciju koji nikada ne šalje kodove, bez obzira na pokušaje korisnika.
Ova završna komponenta služi za odgađanje sumnje žrtve i sprječavanje neposrednog prijavljivanja incidenta, dajući napadačima dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije otkrivanja.
Ovo upozorenje, objavljeno na platformama poput mreže X i blogova sigurnosnih kompanija, detaljnije objašnjava prijetnju kibernetičkih kriminalaca koji iskorištavaju popularnost aplikacije CapCut. Cilj je upozoriti korisnike na novu phishing kampanju koja za cilj ima krađu vjerodajnica Apple ID-a i podataka o kreditnim karticama. Prevaranti koriste društveni inženjering, šaljući lažne fakture za CapCut Pro pretplatu putem e-pošte, koje sadrže uvjerljive pozive na akciju poput gumba “Otkaži pretplatu”. Kada korisnik klikne na ovaj gumb, preusmjerava se na lažnu stranicu za prijavu na Apple ID, koja oponaša službeni dizajn Applea. Nakon unosa vjerodajnica, žrtva biva preusmjerena na lažnu stranicu za povrat sredstava putem Apple Paya, gdje se traže podaci o kreditnoj kartici. Kampanja koristi i korak provjere autentičnosti koji ne šalje stvarne kodove, kako bi kupili vrijeme napadačima. Ova taktika, poput manipulacije korisnicima da se izbjegnu neželjeni troškovi, pokazuje kako se popularnost aplikacija koristi za stvaranje uvjerljivih mamaca.