CapCut video düzenleme aracının popülaritesi, yalnızca ABD’de aylık 200 milyondan fazla aktif kullanıcıyla artmaya devam ederken, tehdit aktörleri (TA’lar), CapCut kimlik avı web siteleriyle video düzenleyicilerden yararlanma fırsatı yakaladı.
Cyble Research and Intelligence Labs (CRIL) kısa bir süre önce CapCut’u taklit eden ve bundan şüphelenmeyen kurbanları Stealers ve BatLoader gibi kötü amaçlı yazılımları yüklemeleri için kandıran bir dizi kimlik avı web sitesi keşfetti.
ABD, Hindistan ve Tayvan gibi ülkeler CapCut gibi Çin menşeli uygulamaların kullanımını yasaklamaya veya sınırlandırmaya başladığından beri, netizenler videolarını düzenlemek için alternatif yollar arıyor.
Ne yazık ki, bu onları yanlışlıkla meşru CapCut indirme kaynakları gibi görünen sahte web sitelerine girme risklerine maruz bıraktı.
CapCut kimlik avı web sitesi dolandırıcılığı: Nasıl çalışır?
Bu CapCut kimlik avı web sitesi dolandırıcılıklarının işe yaraması için tehdit aktörleri, kötü amaçlı yazılım, RAT’ler ve diğer kötü amaçlı uygulamalarla önceden yüklenmiş olarak gelen kimlik avı web sitelerini kullandı.
CRIL ekibi ayrıca araştırmalarında Offx, redline hırsızları ve daha fazlası gibi birden fazla hırsızın izini buldu. Bu hırsızların asıl amacı kurban hakkında bilgi toplamak ve bunu kötü amaçlar için kullanmaktır.
Güvenlik araştırmacıları, bu CapCut kimlik avı web sitesi dolandırıcılıklarının işleyiş biçimlerine ilişkin derinlemesine bir analiz gerçekleştirdi. Tehdit aktörü, kurbanlarını hedeflemek için Python programlama dilini kullanıyor ve 8dd5d02bb6313997fcaa6515ccb2308c37a81374baef188554ba20d23602c01c SHA256 karması ile tanımlanan hırsız ikili programlarından biri PyInstaller kullanılarak derlendi.
Yalnızca Windows 8 ve sonraki sürümleri için kullanılabilen derlenmiş yürütülebilir dosya, Python 3.9’u kullanır ve PyInstaller ile paketlenmiştir. Bu şifreleme, kötü amaçlı yazılımın yürütülmesini belirtilen işletim sistemleriyle sınırlar.
Araştırmacılar, kurulumu başarılı bir şekilde çıkardıktan sonra temel Python betiğine erişim buldu.
Betiğin main.py dosyası, cryptography.fernet modülünden Fernet sınıfını içe aktarır ve şifre çözme işlemlerini gerçekleştirir.
Rapora göre, CapCut kimlik avı web sitesi dolandırıcılıklarında kullanılan bir başka hırsız olan Offx Stealer da kurbanlarını hedef almak için aynı metodolojiyi kullanıyor.
Offx Stealer, genel işleyişine katkıda bulunan çeşitli alt işlevleri gösterir. Mesaj, şifreler, tanımlama bilgileri, ekran, fermuar, send_message ve rm örnek olarak verilebilir.
Mesaj işlevi, kullanıcılara “Uygulama düzgün başlatılamadı (0xc0000142)” yazan sahte bir hata mesajı sunarak aldatıcı bir taktik başlatır. Bu taktik, kullanıcıları uygulamada veya sistemlerinde bir sorun olduğuna inandırmaya çalışır ve harekete geçmelerini veya uygulamayı kapatmalarını ister.
Parolalar işlevi, şifrelenmiş anahtarlar için ‘Yerel Durum’ dosyalarını işleyerek çeşitli tarayıcıları hedefler.
Bu anahtarlar daha sonra şifrelenir ve bireysel tarayıcının ‘Oturum Açma Verileri’ dosyalarında yer alan oturum açma bilgilerine erişmek için gereken ana anahtarı sağlar. Çalınan bilgiler “Şifreler” adlı bir metin dosyasında tutulur.[browser-Name].txt.”
Offx Stealer ayrıca, oturum verileri ve kimlik doğrulama belirteçleri gibi önemli bilgileri alarak hedeflenen tarayıcı tanımlama bilgisi dosyalarından veri alır. Bu bilgiler “Çerezler” adlı bir dosyaya kaydedilir.[browser-Name].txt.”
Ekran işlevi, daha sonra %appdata% dizininde rastgele oluşturulmuş bir dizinde “DesktopScreen.jpg” olarak depolanan bir ekran görüntüsü almak için ImageGrab modülünü kullanır.
CapCut kimlik avı web sitesi dolandırıcıları ve hırsızları
CapCut kimlik avı web sitesi dolandırıcılıkları genellikle Discord ve Telegram gibi platformlarda ve UltraViewer ve AnyDesk gibi uzak masaüstü uygulamalarında çalışır.
Tehdit aktörleri özellikle Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda ve Zcash gibi kripto para cüzdanı uygulamalarını hedefliyor.
Hırsız, bu uygulamalardan hassas bilgileri ayıklamak için, hedeflenen her uygulama klasörü için ZIP arşivleri oluşturmaya çalışır ve onları %appdata% konumunda rastgele oluşturulmuş dizine kaydeder. Ayrıca, kullanıcının Masaüstünü belirli dosya uzantıları için tarar ve bunları hırsızlık için kopyalar.
İşletim sistemi ayrıntıları, makine tipi, işlemci bilgileri ve geçerli tarih ve saat dahil olmak üzere toplanan sistem bilgileri “OS-Info” adlı bir metin dosyasında saklanır.[ip_ip-address].txt.”
Veri hırsızlığı
Gerekli tüm verileri topladıktan sonra hırsız, kullanıcının adını, ülkesini ve rastgele bir dizeyi birleştiren benzersiz bir ada sahip sıkıştırılmış bir ZIP dosyası oluşturur. Bu son ZIP arşivi, daha önce elde edilen tüm dosyaları içerir.
Hırsız daha sonra son ZIP dosyasını, ZIP dosyası eklenmiş bir POST isteği kullanarak bir Telegram kanalı aracılığıyla dışarı sızdırmaya çalışır.
İletim hataları olması durumunda, hırsız ZIP dosyasını yükleyicinin kimliğini ifşa etmeden güvenli bir şekilde depolamak ve paylaşmak için anonim bir dosya barındırma hizmeti olan AnonFiles’a başvurur.
Hırsız, izlerini örtmek için çalınan bilgileri depolamak için kullanılan rastgele oluşturulmuş dizini siler ve çalınan verilerin izlerini etkili bir şekilde gizler.
BATLoader kampanyası ve RedLine hırsızı
Bu CapCut kimlik avı web sitesi dolandırıcılıklarını araştırırken CRIL, capcut-freedownload ile karşılaştı.[.]com, CapCut_Pro_Edit_Video.rar adlı bir rar arşiv dosyasını barındıran bir web sitesi. Arşivin içinde, CapCut_Pro_Edit_Video.bat adlı bir toplu komut dosyası keşfedildi.
3eb99ff875dd397b5beed12e3662984cc4afdea2ff6998155b9c74869050d93c SHA256 hash değerine sahip bu toplu iş dosyası, antivirüs programları ve güvenlik araçları tarafından tespit edilmedi.
Kötü amaçlı bir yazılım olan RedLine Stealer, saklanan kimlik bilgileri ve kredi kartı ayrıntıları dahil olmak üzere web tarayıcılarından hassas verileri alır. Ayrıca kullanıcı adları, konum, donanım yapılandırması ve yüklü güvenlik yazılımı gibi sistem envanteri bilgilerini de toplar.
Yeni uygulamaların popülaritesindeki artışla birlikte tehdit aktörleri, kullanıcıların heyecanından yararlanarak onları hileli ve kötü niyetli yollarla hedef alıyor.
Özellikle CapCut kullanıcıları, CapCut kimlik avı web sitesi dolandırıcılıklarının çoğalması nedeniyle artan bir riskle karşı karşıyadır. Kullanıcılar, uygulamaları indirirken dikkatli olmalı ve bunları yasal kaynaklardan aldıklarından emin olmalıdır.
Tetikte olmak ve güncel güvenlik önlemlerini sürdürmek, artan kimlik avı kampanyalarına ve kötü amaçlı yazılım tehditlerine karşı korunmaya yardımcı olacaktır.