近日，Cyble的安全研究者發現黑客正利用假冒CapCut（剪映的海外版）官網將大量惡意軟件推送給毫無戒備的受害者。

CapCut是字節跳動旗下TikTok的官方視頻編輯器和制作工具，支持音樂混合、濾色器、動畫、慢動作效果、畫中畫、穩定器等功能，是最流行的視頻剪輯工具之一。

僅在Google Play上，CapCut的下載量就超過500億次，其網站每月的點擊量超過30萬次。

由于印度等國家和地區頒布了CapCut禁令，導致很多用戶尋找CapCut的替代下載方式。

黑客正是利用這一點架設冒牌CapCut官網（下圖）誘騙用戶下載惡意軟件。

據Cyble的安全研究人員報告，已經發現兩個分發惡意軟件的攻擊活動使用了假冒的CapCut網站。

報告沒有提供有關受害者如何在冒牌網站上被引導的具體信息，但通常，攻擊者會使用黑帽SEO、搜索廣告和社交媒體來推廣這些網站。

已經發現的冒牌CapCut官網地址如下（截至發稿，這些網站都已下線）：

• Capcut-freedownload[.].com

• Capcutfreedownload[.].com

• Capcut-editor-video[.].com

• Capcutdownload[.].com

• Capcutpc-download[.].com

攻擊活動一：竊取賬號和加密貨幣錢包信息

Cyble分析師發現的第一個攻擊活動使用了虛假的CapCut網站，該網站頁面有下載按鈕，可在用戶的計算機上下載信息竊取軟件Offx Stealer。該信息竊取軟件的二進制文件是在PyInstaller上編譯的，只能在Windows8、10和11上運行。

當受害者執行下載的文件時，會收到一條虛假錯誤消息，聲稱應用程序啟動失敗。事實上Offx Stealer已經啟動并持續在后臺運行。

該惡意軟件還將嘗試從用戶的Web瀏覽器和桌面文件夾中的特定類型文件（.txt、.lua、.pdf、.png、.jpg、.jpeg、.py、.cpp和.db）中提取密碼和Cookie。此外，還可竊取存儲在Discord和Telegram等消息傳遞應用程序，加密貨幣錢包應用程序（Exodus、Atomic、Ethereum、Coinomi、Bytecoin、Guarda和Zcash）以及UltraViewer和AnyDesk等遠程訪問軟件中的數據。

所有被盜數據都保存在%AppData%文件夾中隨機生成的目錄中，壓縮，然后通過私人Telegram頻道發送給惡意軟件運營商。攻擊者還使用AnonFiles文件托管服務在滲透步驟中實現冗余。

被盜文件傳輸給攻擊者后，惡意軟件將刪除為臨時托管數據而創建的本地目錄以擦除感染痕跡。

攻擊活動二：竊取賬號和銀行卡信息

使用假冒CapCut網站的另一個攻擊活動會在受害者的設備上存儲一個名為“CapCut_Pro_Edit_Video.rar”的文件，其中包含一個批處理腳本，該腳本在打開時又會觸發PowerShell腳本。

由于沒有防病毒引擎會將批處理文件標記為惡意軟件，因此該加載程序非常隱蔽。

PowerShell腳本負責解密、解壓縮并加載兩個有效負載：Redline Stealer和.NET可執行文件，攻擊鏈如下圖所示：

Redline是一種非常流行的信息竊取程序，可以獲取存儲在Web瀏覽器和應用程序中的數據，包括憑據、信用卡和自動（表單）完成數據。

.NET有效負載的作用是繞過AMSI Windows安全功能，允許Redline在受感染的系統上運行而不被發現。

為了遠離上述惡意軟件，建議剪映（Capcut）用戶直接從官方網站下載軟件，而不是在論壇、社交媒體或私信中分享的網站，并確保在搜索引擎上搜索該軟件工具時，不要誤點廣告（防止黑帽SEO）。

剪映海外版（CapCut）可以通過capcut.com，Google Play（適用于Android）和App Store等官方渠道獲得。