Une nouvelle campagne de distribution de logiciels malveillants est en cours pour se faire passer pour l’outil de montage vidéo CapCut afin de pousser diverses souches de logiciels malveillants vers des victimes sans méfiance.
CapCut est l’éditeur et créateur vidéo officiel de ByteDance pour TikTok, prenant en charge le mixage de musique, les filtres de couleur, l’animation, les effets de ralenti, l’image dans l’image, la stabilisation, etc.
Il compte plus de 500 millions de téléchargements sur Google Play uniquement et son site Web reçoit plus de 30 millions de visites par mois.
La popularité de l’application, combinée à des interdictions nationales à Taïwan, en Inde et ailleurs, a poussé les utilisateurs à rechercher d’autres moyens de télécharger le programme.
Cependant, les acteurs de la menace exploitent cela en créant des sites Web qui distribuent des logiciels malveillants déguisés en installateurs CapCut.
Les sites Web malveillants ont été découverts par Cyble, qui rapporte avoir vu deux campagnes distribuant différentes souches de logiciels malveillants.
Aucune information spécifique sur la manière dont les victimes sont dirigées sur ces sites n’a été fournie, mais généralement, les acteurs de la menace utilisent le référencement Black Hat, les annonces de recherche et les médias sociaux pour promouvoir les sites.
Les sites Web incriminés sont :
- capcut-freedownload[.]com
- capcutfreedownload[.]com
- capcut-editor-video[.]com
- capcutdownload[.]com
- capcutpc-download[.]com
Au moment de la rédaction, tous les domaines ont depuis été mis hors ligne.
Première campagne
La première campagne repérée par les analystes de Cyble utilise de faux sites CapCut comportant un bouton de téléchargement qui délivre une copie de l’Offx Stealer sur l’ordinateur de l’utilisateur.
Le binaire Steler a été compilé sur PyInstaller et ne fonctionnera que sur Windows 8, 10 et 11.
Lorsque la victime exécute le fichier téléchargé, elle reçoit un faux message d’erreur affirmant que le lancement de l’application a échoué. Cependant, Offx Stealer continue de fonctionner en arrière-plan.
Le logiciel malveillant tentera d’extraire les mots de passe et les cookies des navigateurs Web et des types de fichiers spécifiques (.txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp et .db) du dossier du bureau de l’utilisateur.
Il cible également les données stockées dans des applications de messagerie comme Discord et Telegram, des applications de portefeuille de crypto-monnaie (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda et Zcash) et des logiciels d’accès à distance comme UltraViewer et AnyDesk.
Toutes les données volées sont enregistrées dans un répertoire généré de manière aléatoire dans le dossier %AppData%, compressées, puis envoyées aux opérateurs de logiciels malveillants sur un canal Telegram privé. Les acteurs de la menace utilisent également le service d’hébergement de fichiers AnonFiles pour la redondance dans l’étape d’exfiltration.
Une fois les fichiers volés transmis aux attaquants, le répertoire local créé pour héberger temporairement les données est supprimé pour effacer toute trace de l’infection.
Deuxième campagne
La deuxième campagne impliquant de faux sites CapCut dépose un fichier nommé « CapCut_Pro_Edit_Video.rar » sur les appareils des victimes, contenant un script batch qui, à son tour, déclenche un script PowerShell lorsqu’il est ouvert.
Cyble dit qu’au moment de son analyse, aucun moteur antivirus ne signalerait le fichier de commandes comme malveillant, de sorte que le chargeur est très furtif.
Le script PowerShell déchiffre, décompresse et charge la charge utile finale : Redline Stealer et un exécutable .NET.
Redline est un voleur d’informations largement déployé qui peut récupérer des données stockées dans des navigateurs Web et des applications, y compris des informations d’identification, des cartes de crédit et des données de saisie semi-automatique.
Le rôle de la charge utile .NET est de contourner la fonction de sécurité AMSI Windows, permettant à Redline de fonctionner sans être détecté sur le système compromis.
Pour rester à l’abri des logiciels malveillants, téléchargez des logiciels directement à partir de sites officiels plutôt que de sites partagés dans des forums, des médias sociaux ou des messages directs, et assurez-vous également d’éviter les résultats promus lorsque vous recherchez des outils logiciels sur Google.
Dans ce cas, CapCut est disponible via capcut.com, Google Play (pour Android) et l’App Store (pour iOS).