Es una trampa tan compleja como efectiva: un sitio falso de CapCut mediante el cual se ofrece la posibilidad de clips utilizando IA, pero en el que lo que se descarga no es un video, sino un troyano capaz de acceder al sistema del usuario.
La alerta la dio Eset, una firma de ciberseguridad especializada en recursos anti-phishing y anti-malware. Según su reporte, luego de ingresar el prompt para la creación del video, el sitio simula un proceso y luego ofrece al usuario descargar el resultado. Al hacerlo, lo que en realidad descarga es un troyano.
Este caso no es aislado, ya que forma parte de una campaña más amplia en la que también se han identificado sitios falsos que suplantan la identidad de otras marcas como Adobe o Canva. Así lo reportó la empresa Silent Push, que dijo haber hallado al menos 13 sitios similares.
Cómo funciona la trampa
El ejemplo, reportado por el usuario de X (anteriormente, Twitter) @g0njxa, se centra en el sitio falso “capcutproia”, que simula ser una herramienta para crear videos con la ayuda de la Inteligencia Artificial. Al ingresar, se presenta una web muy similar al sitio oficial.
Una vez dentro, el paso siguiente que ofrece el sitio es escribir un prompt o bien subir una imagen de referencia para, indica, crear el video deseado.
El sitio falso simula estar procesando el pedido de la víctima.
Una vez que termina de procesar el pedido, ofrece descargar el resultado. Al hacer clic en la descarga, se obtiene un archivo llamado “creation_made_by_capcut.mp4 – Capcut.com”.
Es en ese momento en que el sitio falso sugiere descargar el supuesto video.
“Es importante marcar que el archivo que se obtiene de la descarga es un troyano. Es decir, un archivo que dice ser algo que en realidad no es. En este caso puntual el archivo que se presenta como el video generado en realidad descarga una herramienta que permite a un tercero conectarse remotamente en el equipo del usuario”.--Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica.
La herramienta que descarga el archivo en el equipo de la víctima es un instalador de una herramienta simil Teamviewer. Algunas soluciones de seguridad pueden detectar este archivo como una PUA (Potentially Unwanted Application), es decir, un archivo potencialmente malicioso, pero no siempre ocurre, porque se trata de una herramienta legítima, si bien está claro que en el contexto que se descarga el archivo la intención es maliciosa.
“La mayoría de las aplicaciones de control remoto cuentan con la opción de generar un ejecutable preconfigurado para conectarse con una IP o usuario específico, lo cual es útil para la asistencia virtual, pero también para los atacantes. Así, basta con que la víctima abra el archivo, y en dos o tres clicks le dará el control de su equipo al cibercriminal sin saberlo”, advierte Martina López, Investigadora del equipo de Laboratorio de Eset Latinoamérica.
Por ahora no hay casos comprobados en Latinoamérica, pero sí numerosas detecciones en países como la República Checa y Sri Lanka.
Entrar y enviar un comentario