Zlonamjernici koriste popularnost aplikacije CapCut za ciljanje Apple ID vjerodajnica i podataka o kreditnim karticama.
Kriminalci su počeli iskorištavati široku popularnost aplikacije CapCut, vodeće aplikacije za uređivanje kratkih videozapisa, kako bi orkestrirali sofisticirane phishing kampanje usmjerene na Apple ID vjerodajnice i informacije o kreditnim karticama.
Ova nova prijetnja pokazuje kako napadači strateški koriste popularne aplikacije kako bi povećali kredibilitet svojih zlonamjernih šema, stvarajući uvjerljive mamce koji neoprezne korisnike navode na predaju osjetljivih osobnih i financijskih podataka.
Kampanja napada koristi pedantno izrađene lažne račune za pretplatu na CapCut, distribuirane putem e-pošte, predstavljajući primateljima lažne obavijesti o naplati za pretplate na CapCut Pro po cijeni od 49,99 USD mjesečno.
Ove obmanjujuće komunikacije uključuju službeno brendiranje CapCuta i reference na Apple Store, stvarajući autentičan izgled koji ulijeva povjerenje kod potencijalnih žrtava.
E-poruke sadrže uvjerljive pozive na akciju, specifično tipke “Otkaži svoju pretplatu” koje služe kao početni vektor infekcije za višefazni napad.
Analitičari kompanije Cofense identificirali su ovu kampanju kao sofisticiranu dvostranu phishing operaciju osmišljenu za povećanje učinkovitosti prikupljanja vjerodajnica.
Istraživači su primijetili da su akteri prijetnji implementirali napredne taktike socijalnog inženjeringa, kombinirajući poruke koje stvaraju hitnost s financijskim poticajima kako bi manipulirali žrtvama na suradnju.
Učinkovitost kampanje proizlazi iz iskorištavanja poznavanja korisnika s legitimnim servisima pretplate i njihove prirodne želje da izbjegnu neželjene troškove.
Mehanizam infekcije i tehnička analiza započinju kada žrtve stupe u interakciju sa zlonamjernom tipkom “Otkaži svoju pretplatu”, preusmjeravajući ih na lažnu stranicu za prijavu na Apple ID hostiranu na flashersofts[.]store/Applys/project/index[.]php.
Ova domena, potpuno nepovezana s legitimnim Appleovim uslugama, predstavlja sučelje koje izgleda autentično i oponaša službeno Appleovo brendiranje i dizajnerske elemente.
Nakon predaje vjerodajnica, zlonamjerna stranica izvršava HTTP POST zahtjev prema serveru za zapovijedanje i kontrolu na IP adresi 104[.]21[.]33[.]45, prenoseći ukradene Apple ID vjerodajnice u obliku običnog teksta.
Napad zatim prelazi u svoju drugu fazu, predstavljajući žrtvama lažno sučelje “Apple Pay Refund” koje zahtijeva podatke o kreditnoj kartici pod izlikom obrade povrata pretplate.
Kampanja završava obmanjujućim korakom provjere koda za autentifikaciju koji zapravo nikada ne šalje kodove, bez obzira na pokušaje korisnika.
Ova završna komponenta služi za odgađanje sumnje žrtve i sprječavanje neposrednog izvještavanja o incidentu, dajući napadačima dodatno vrijeme za iskorištavanje prikupljenih vjerodajnica prije otkrivanja.
Sigurnosni stručnjaci su putem platformi poput društvenih mreža i službenih blogova upozorili korisnike na ovu novu prijetnju, naglašavajući kako prevaranti sve češće iskorištavaju popularnost aplikacija poput CapCuta kako bi kreirali uvjerljive phishing sheme. Metode napada uključuju slanje lažnih računa za pretplatu na servise koji su već u upotrebi, uvjeravajući korisnike da su im naplaćeni neželjeni iznosi. Kako bi prevara bila što uvjerljivija, napadači koriste vizualne elemente i logotipe poznatih brendova, poput Applea, te stvaraju osjećaj hitnosti nudeći mogućnost otkazivanja pretplate ili povrata novca. U jednom konkretnom primjeru, žrtve su primile e-poštu s lažnim računom za CapCut Pro, a klikom na poveznicu za otkazivanje bivale su preusmjerene na lažnu stranicu za prijavu na Apple ID. Nakon unosa korisničkih podataka, tražene su im i informacije o kreditnoj kartici navodno radi obrade povrata sredstava. Cilj je ovakvih napada obmanuti korisnike kako bi odali svoje osjetljive podatke, čime se povećava rizik od krađe identiteta i financijskih gubitaka.
