En son CapCut dolandırıcılığında dağıtılan en belirgin kötü amaçlı yazılımlardan biri BatLoader’dır.
Cyble Research and Intelligence Labs’ın yeni bir raporuna göre, yalnızca ABD’de ayda 200 milyondan fazla aktif kullanıcısı olan CapCut video düzenleyici, tehdit aktörlerinin şu anki hedefi.
CapCut, kullanıcıların videolarını düzenlemelerine izin veren bir Çin uygulamasıdır. Ancak Çin menşeli diğer birçok uygulama gibi CapCut da Hindistan, ABD ve Tayvan da dahil olmak üzere birçok ülkede yasaklanmıştır. Bu nedenle, videolarını düzenlemek isteyen kullanıcılar, bu uygulamayı yüklemenin ve tuzağa düşmenin yollarını rahatlıkla ararlar. CapCut, TikTok’un da sahibi olan ByteDance tarafından oluşturuldu.
Bildirildiğine göre, tehdit aktörleri, CapCut kimlik avı siteleri aracılığıyla şüphelenmeyen kullanıcıları tuzağa düşürüyor ve onları BatLoader, Stealers ve diğer kötü amaçlı yazılımları indirmeleri için kandırıyor. Cyble araştırmacıları, video düzenleme yazılımı olarak görünmek üzere tasarlanmış birkaç kimlik avı web sitesi keşfetti.
Ancak bu siteler, kullanıcıları RAT’ler ve Stealers dahil olmak üzere kötü amaçlı yazılımları indirmeleri/yürütmeleri için kandırır. Araştırmacılar, tehdit aktörlerinin bu kampanyada özellikle CapCut aracını hedef aldığını gözlemledi.
Araştırmacılar, saldırganların çalışma yöntemlerini kapsamlı bir şekilde araştırdı ve dolandırıcıların Python’u kurbanları hedef almak için kullandıklarını kaydetti. Belirledikleri hırsız ikili dosyalarından birinde SHA256 vardı ve PyInstaller ile derlenmişti.
Yürütülebilir dosya yalnızca Windows 8 veya sonraki sürümlerde kullanılabilir. Araştırmacılar, kurulumu başarılı bir şekilde çıkardıktan sonra gizli Python betiğine erişebilirler. Ayrıca betiğin .py dosyası, şifresini çözmek için Fernet sınıfını içe aktarır. Dosyayı cryptography.fernet modülünden alır.
Cyble araştırmacıları tarafından gözlemlenen kampanyalardan birinde, bir kimlik avı web sitesi Offx hırsızını barındırıyordu. Başka bir örnekte, tehdit aktörleri, BatLoader kötü amaçlı yazılımını barındırmak için bir kimlik avı sitesi kullandı ve RedLine hırsızını hedeflenen sisteme teslim etti. Bu, kimlik avı web sitelerinin RAT’ler ve kötü amaçlı yazılımlarla önceden yüklenmiş olarak geldiği anlamına gelir.
Cyble araştırmacıları, blog yazılarında, bu hırsızların birincil amacının kurban hakkında bilgi toplamak ve bunu kötü amaçlar için kullanmak olduğunu açıkladı.
İLGİLİ MAKALELER
- TikTokers, reklam yazılımlarını destekledi; kar elde etti
- TikTok Görünmez Vücut Mücadelesi, Kötü Amaçlı Yazılımları Bırakmak İçin Suistimal Edildi
- TikTok kusuru, bilgisayar korsanlarının telefon numaralarınıza erişmesine izin verdi
- Sahte Windows sitesi, Windows 11 yükseltmesi olarak kötü amaçlı yazılım bıraktı
- Sahte WhatsApp klonları Android ve Windows’tan kripto para çaldı