Se han detectado múltiples campañas de malware nuevas en las que los piratas informáticos se aprovechan de las prohibiciones recientes de TikTok en todo el mundo para entregar ladrones de información a víctimas desprevenidas.
Los investigadores de ciberseguridad de Cyble descubrieron recientemente al menos cinco sitios web maliciosos que pretendían ofrecer el archivo de instalación de CapCut.
CapCut es el editor y creador de videos oficial de TikTok, la plataforma de redes sociales más popular del mundo en este momento, que permite a los usuarios mezclar música, agregar filtros de color, varias animaciones, generar efectos de cámara lenta, agregar funciones de imagen en imagen, estabilizar sus videos, y mucho más.
Software malicioso CapCut
La aplicación oficial de TikTok tiene más de 500 millones de descargas en Play Store de Google, sin embargo, está desarrollada por ByteDance, un fabricante de software chino, y como tal, la aplicación está siendo objeto de un intenso escrutinio en Occidente.
Algunos países afirman que el gobierno chino podría presionar a ByteDance para que comparta datos confidenciales con las autoridades, comprometiendo así la privacidad de sus usuarios. El problema escaló aún más en las últimas semanas, cuando el gobierno de EE. UU. prohibió a sus empleados tener la aplicación instalada en los dispositivos móviles emitidos por el gobierno. Además, países como Taiwán, India y otros lugares también han emitido prohibiciones a nivel nacional de la aplicación.
Como resultado, las personas buscan formas alternativas de descargar la aplicación, que es donde entran los delincuentes. Crearon varios sitios web maliciosos, fingiendo ofrecer la aplicación de edición de video para descargar, pero en su lugar están implementando dos variantes de malware: una es Offx. Stealer, y el otro es RedLine Stealer.
Offx se ejecuta en Windows 8, 10 y 11 y, cuando se instala, muestra un mensaje de error a la víctima mientras continúa funcionando en segundo plano. RedLine Stealer es uno de los ladrones de información más populares (e infames) del mundo, que permite a los actores de amenazas filtrar datos almacenados en navegadores web y aplicaciones (por ejemplo, credenciales de inicio de sesión, información de tarjetas de crédito y similares), así como datos de billeteras de criptomonedas y más. .
Cuando se hizo público el informe de Cyble, todos los dominios descubiertos se desconectaron. Sin embargo, eso no significa que los atacantes simplemente no moverán su infraestructura a otro lugar, por lo que es mejor estar en alerta máxima, especialmente al descargar aplicaciones de fuentes no oficiales.
Vía: BleepingComputer