Site falso do CapCut instala software de acesso remoto

A ESET identificou uma campanha de distribuição trojan (software intrusivo que esconde sua real finalidade) por meio de um site falso que imita o CapCut – plataforma de criação e edição de vídeos por meio de inteligência artificial (IA). Com layout semelhante ao original, o site falso simula o processamento de um vídeo e, em seguida, sugere um download do resultado. Contudo, o arquivo gerado carrega um trojan que possibilita o acesso remoto ao dispositivo da vítima. Segundo a empresa, campanhas semelhantes ocorreram se utilizando de marcas como Adobe e Canva.

O site falso foi reportado pelo usuário do X (antigo Twitter) g0njxa. A plataforma maliciosa apresenta a url ‘capcutproia’ e interface idêntica à verdadeira. Com a popularização desse tipo de campanha, a ESET recomenda a atenta verificação do endereço antes de acessá-lo e, sempre que possível, digitar a URL manualmente para garantir sua autenticidade.

Processo malicioso

Ao acessar o site falso, o usuário é induzido a escrever um prompt (instrução que orienta uma ação ou resposta de um sistema de inteligência artificial) ou enviar uma imagem de referência para a criação de um vídeo. A plataforma, então, finge processar a solicitação e, ao final, indica a realização de um download do suposto resultado da criação. O nome do arquivo gerado é “creation_made_by_capcut.mp4 – Capcut.com”.

O arquivo baixado carrega um trojan que, quando executado, permite que terceiros acessem remotamente o computador da vítima. A ESET detecta esse arquivo como Win32/RemoteAdmin.ConnectWiseControl.

“A ferramenta baixada no computador da vítima é um instalador de um software semelhante ao TeamViewer. Embora algumas soluções de segurança possam classificá-lo como um PUA (Aplicação Potencialmente Indesejada) por se tratar de uma ferramenta legítima, fica evidente que, no contexto em que é distribuído, sua intenção é maliciosa”, comenta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.

“A maioria das aplicações de controle remoto oferece a opção de gerar um executável pré-configurado para se conectar a um IP ou usuário específico, o que é útil para assistência virtual, mas também para os cibercriminosos. Tudo o que a vítima precisa fazer é abrir o arquivo e, em dois ou três cliques, ela acabará, sem saber, concedendo o controle do seu computador ao cibercriminoso”, complementa Martina Lopez, pesquisadora de segurança do Laboratório da ESET América Latina.

Os especialistas destacam que, atualmente, essa campanha não foi identificada no Brasil. Contudo, o contexto de festas populares tende a impulsionar a procura por dispositivos para edição de vídeos. E, sem a devida atenção, esse tipo de malware poderia se espalhar rapidamente em dispositivos brasileiros.

Ao menos 13 sites falsos com campanhas semelhantes foram identificados. Além do CapCut, são utilizadas as identidades visuais das marcas Canva, Adobe e outras para atrair a atenção de pessoas interessadas em ferramentas de IA, conforme reportado pela empresa Silent Push. Todas elas operam da mesma maneira, simulam a interface e navegabilidade dos sites reais para induzirem a execução de um malware que permite o acesso remoto ao equipamento do usuário.

As campanhas maliciosas que utilizam sites fraudulentos para obter informações sensíveis ou valores financeiros das vítimas são recorrentes. Para reduzir riscos, é essencial adotar práticas seguras que ajudem a verificar a autenticidade de um site. Antes de acessar ou fornecer qualquer dado, é fundamental conferir se o endereço (URL) é legítimo e correto.

Além disso, a realização de downloads desnecessários de ferramentas que operam diretamente na web deve ser evitada. O uso de uma solução de segurança eficiente também é recomendável, pois permite analisar os arquivos baixados antes da execução. Manter-se informado sobre novos desenvolvimentos e consultar fontes confiáveis são medidas importantes para acompanhar campanhas em andamento e identificar potenciais riscos.