مجرمان سایبری با سوءاستفاده از محبوبیت گسترده اپلیکیشن ویرایش ویدئوی کوتاه CapCut، یک کمپین فیشینگ بسیار فریبنده راهاندازی کردهاند.
به گزارش مرکز دفاع فیشینگ Cofense (PDC)، مهاجمان با ارسال فاکتورهای جعلی که بهطور دقیق با برندینگ CapCut طراحی شدهاند، کاربران را فریب میدهند تا اطلاعات اپل آیدی و کارت اعتباری خود را در اختیارشان بگذارند.
حملهای با دو هدف همزمان
این حمله همزمان از اعتماد کاربران به برندهای آشنا سوءاستفاده کرده و با تاکتیکهای پیچیده، حداکثر استخراج اطلاعات حساس را ممکن میسازد، بدون آنکه کاربران بهسرعت مشکوک شوند.
کمپین فیشینگ پیشرفته
این کمپین، نمونهای بارز از پیشرفت تهدیدهای مهندسی اجتماعی در فضای دیجیتال است و نیاز به هوشیاری مستمر کاربران را یادآور میشود.
فرآیند فیشینگ با یک ایمیل به ظاهر معتبر آغاز میشود که شامل دکمهای با عنوان «لغو اشتراک» است. این ایمیل با تصاویر رسمی CapCut طراحی شده تا حس اعتماد و اضطرار را در کاربر ایجاد کند.
با کلیک روی این دکمه، کاربر به صفحه جعلی ورود اپل آیدی هدایت میشود که در دامنهی مشکوک Flashersofts[.]store/Applys/project/index[.]php میزبانی شده و هیچ ارتباطی با سرویسهای رسمی اپل ندارد.
در این صفحه، کاربران تشویق به وارد کردن اطلاعات ورود خود میشوند که سپس از طریق درخواست HTTP POST به آدرس IP ۱۰۴[.]۲۱[.]۳۳[.]۴۵ بهصورت متنواضح (plaintext) ارسال میشود؛ نقص امنیتی آشکاری که باعث میشود دادهها در معرض رهگیری قرار گیرند.
سرقت اطلاعات کارت بانکی
پس از ورود اطلاعات اپل آیدی، مرحله دوم حمله آغاز میشود؛ کاربران با پیامی مواجه میشوند که اطلاعات کارت بانکی را با وعدهی «بازپرداخت وجه» درخواست میکند.
این صفحه که بر بستر زیرساخت فرمان و کنترل (C2) مشابه اجرا میشود، حتی دارای سیستم اعتبارسنجی ورودی است که شماره کارت ناقص را نمیپذیرد؛ ویژگیای که حس اعتبار کاذبی به قربانی القا میکند.
در نهایت، کاربر با صفحهای مواجه میشود که از او «کد تأیید» میخواهد، اما هیچگاه این کد را ارسال نمیکند — ترفندی هوشمندانه برای تأخیر در تشخیص کلاهبرداری توسط قربانی.
طراحی چند مرحلهای
این ساختار چندمرحلهای، نهتنها دو دسته اطلاعات حساس را جمعآوری میکند، بلکه با دستکاری رفتار کاربران، زمان تشخیص حمله را نیز افزایش میدهد و نشان از عمق استراتژیک مهاجمان دارد.
تیم Cofense PDC در تحلیل خود نشان داده که حتی در حالت تست نیز دادهها بهصورت plaintext منتقل میشوند — یک آسیبپذیری حیاتی در زنجیره حمله.
اعتمادسازی از طریق برندینگ آشنا، القای اضطرار، و هدایت زیرکانه کاربر نشان میدهد چطور میتوان اعتماد را به سلاحی برای فیشینگ تبدیل کرد.
توصیههای امنیتی
کاربران باید با دقت به آدرسهای URL توجه کنند، به درخواستهای ناخواسته برای اطلاعات شخصی پاسخ ندهند و هرگونه ارتباط مشکوک را گزارش کنند.
درحالیکه مهاجمان روشهای خود را پیچیدهتر میکنند، آگاهی و آموزش کاربران حیاتیترین عامل دفاعی باقی میماند.
مرکز PDC متعهد است که این روشها را رصد و افشا کند و بر اهمیت آگاهی کاربران برای مقابله با حملات مهندسی اجتماعی تأکید دارد.
شاخصهای نفوذ (Indicators of Compromise – IOCs)
| نوع | شاخص | آدرس IP |
|---|---|---|
| URL ایمیل آلوده | hXXps://yms1[.]ynotmail[.]io/clients/link[.]php?M=703770538&N=3194361&L=453538585&F=H |
۹۹[.]۱۹۲[.]۲۵۵[.]۲۶ |
| URL بارگذاری | hXXps://flashersofts[.]store/Applys/project/index[.]php |
۱۷۲[.]۶۷[.]۱۴۱[.]۴۱, ۱۰۴[.]۲۱[.]۳۳[.]۴۳ |
یک نظر