Phishing a tema CapCut, rilevate campagne per distribuire infostelear

Due campagne di phishing starebbero prendendo di mira gli utilizzatori di CapCut, lo strumento ufficiale di editing video e creazione di TikTok di ByteDance, per diffondere diverse tipologie di malware distribuiti tramite falsi siti web.

Secondo i ricercatori Cyble, gli attaccanti starebbero sfruttando la popolarità del tool, tra l’altro vietato in Taiwan, India e altri paesi, per indurre gli utenti a cercare modi alternativi per scaricare il software che in realtà installano payload malware.

Offx stealer

Una delle campagne individuata dagli analisti di Cyble utilizzerebbe un falso sito CapCut “capcutpc-download[.]com” per la consegna di una copia di Offx Stealer sul computer dell’utente. Questo malware tenta di estrarre password e cookie dai browser web, nonché dati memorizzati in applicazioni di messaggistica come Discord e Telegram che vengono quindi inviati tramite un canale Telegram privato agli attaccanti.

Redline stealer

In una seconda campagna, invece, il falso sito web “capcut-freedownload[.]com” veicolerebbe un file archivio denominato ‘CapCut_Pro_Edit_Video.rar’ sui dispositivi delle vittime.

Uno script batch al suo interno se avviato attiverebbe uno script PowerShell per la decodifica, decompressione e caricamento del payload finale Redline Stealer, il noto ladro di informazioni in grado di estrarre dati memorizzati nei browser web e nelle applicazioni (credenziali, dati carte di credito etc.).

I consigli degli esperti

Approfittare della crescente popolarità di nuove applicazioni per distribuire software fraudolento e dannoso tramite siti web di phishing da parte degli attori malevoli è una tendenza che sta prendendo sempre più piede. Come best practice da impiegare come prima linea di difesa, gli esperti consigliano di scaricare software solo da fonti legittime, astenersi dall’aprire collegamenti e allegati e-mail non attendibili senza prima verificarne l’autenticità, utilizzare antivirus su tutti i propri dispositivi, tenere aggiornati i software e adottare l’autenticazione a due fattori quando possibile.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.