CapCut é um app de edição de vídeo extremamente popular, com cerca de 300 milhões de usuários ativos por mês em todo o mundo e quase um bilhão de downloads, especialmente entre usuários do TikTok. Esse amplo alcance naturalmente chama a atenção de cibercriminosos. A seguir, analisamos um site falso que se passa pelo oficial para distribuir um malware detectado pela ESET como JS/Kryptik.CWH.

Essa campanha, inicialmente reportada pelo usuário DaveTheResearcher no X (antigo Twitter), é um bom exemplo do que frequentemente alertamos: sites falsos cujas URLs têm variações quase imperceptíveis em relação ao endereço legítimo e que, à primeira vista, parecem confiáveis.

No caso do CapCut, o site oficial usa o domínio www.capcut.com, enquanto a versão maliciosa adiciona uma letra "i" ao final da palavra "cut": www.capcuti.com. Para quem faz uma busca rápida no Google, a diferença entre as duas URLs é sutil, e pode facilmente passar despercebida.

capcut-app-falsa-malware-1
Imagem 1. Site oficial do CapCut.
capcut-app-falsa-malware-2
Imagem 2. Site falso adiciona um "i" ao final da URL.

É provável que esse site falso tenha sido promovido por meio de anúncios nos resultados do Google, com o objetivo de enganar usuários desatentos que clicam nos primeiros links exibidos. Outra possibilidade é a divulgação por meio de anúncios em redes sociais, algo que já observamos anteriormente com outras páginas falsas que se fazem passar pelo CapCut.

Semelhanças entre o site oficial e a página falsa

Além da URL, os cibercriminosos também tomaram cuidados ao criar o site falso, utilizando uma estética visual muito semelhante à do site oficial para tornar o golpe ainda mais convincente.

A seguir, comparamos a página oficial com a do site falso:

capcut-app-falsa-malware-3
Imagem 3. Página inicial do site oficial do CapCut.

A captura de tela abaixo mostra a landing page do site falso criado pelos cibercriminosos.

capcut-app-falsa-malware-4
Imagem 4. Página inicial do site que se faz passar pelo CapCut.

Análise dos certificados do site falso

Ao analisar o site falso, identificamos informações sobre o certificado utilizado pelos cibercriminosos para o protocolo HTTPS. Verificamos que esse certificado é válido de 08/04/2025 até 07/07/2025. Esses dados nos dão uma ideia da possível duração da campanha maliciosa e representam mais um indício para questionar a legitimidade do site.

A captura de tela a seguir mostra as informações do certificado do site falso:

capcut-app-falsa-malware-5
Imagem 5. Certificado HTTPS do site falso.

A próxima imagem apresenta as informações do certificado do site oficial:

capcut-app-falsa-malware-6
Imagem 6. Certificado HTTPS do site oficial.

Além disso, ao pesquisarmos informações sobre os dois domínios, como a data de criação, observamos que o site falso possui datas similares às do certificado. Isso também nos ajuda a estimar quanto tempo essa campanha poderia durar nas mãos dos cibercriminosos.

A imagem abaixo mostra, à esquerda, a data de criação e expiração do domínio falso, e à direita, as datas referentes ao domínio oficial:

capcut-app-falsa-malware-7
Imagem 7. Comparação entre os domínios.

Instalador falso do CapCut

Dando continuidade à análise, fizemos o download, a partir do site falso, do suposto instalador do CapCut. Ao clicar no botão "Download for Windows", foi baixado um arquivo compactado no formato .zip, que contém um executável com o nome Installer-<NÚMERO_DE_INSTALAÇÃO>.exe e uma pasta chamada AppData.

Esse executável trata-se de um instalador NSIS, que inclui um script utilizado para instalar e executar arquivos no computador da vítima.

capcut-app-falsa-malware-8
Imagem 8. Lógica do script do instalador NSIS.

O script faz referência a um arquivo de configuração .ini, localizado no caminho AppData\AppInfo\Launcher, dentro do arquivo compactado mencionado anteriormente.

Esse arquivo executa um programa chamado Installer.<NÚMERO_DE_INSTALAÇÃO>.exe, passando dois argumentos: uma DLL chamada Installer-<NÚMERO_DE_INSTALAÇÃO> e um número hardcoded: 2175608479.

O executável em questão possui o hash BFD37182CD581BE0F605FEA0E15D5FD39FD3D1BE e trata-se do binário oficial do Node.js, que permite a execução de código JavaScript em uma máquina.

capcut-app-falsa-malware-9
Imagem 9. Assinatura digital do arquivo legítimo Node.js.

No entanto, a DLL passada como argumento é, na verdade, um código JavaScript com várias camadas de ofuscação, detectado pelas tecnologias da ESET como JS/Kryptik.CWH. Esse código tem como objetivo executar ações maliciosas na máquina da vítima, como o roubo de credenciais de acesso a contas, entre diversas outras atividades criminosas.

Dicas para evitar cair em golpes

Este caso é mais um exemplo de como cibercriminosos se aproveitam da popularidade de aplicativos e softwares, como o editor de vídeos CapCut, para criar sites falsos visualmente semelhantes ao oficial e, assim, distribuir malware. Também evidencia o nível de sofisticação e qualidade desses sites maliciosos, com diferenças muito sutis que facilmente passam despercebidas, especialmente em se tratando de aplicativos para dispositivos móveis, o que aumenta o risco para usuários desatentos.

A chave para não ser vítima desse tipo de golpe envolve, em primeiro lugar, não confiar cegamente nos primeiros resultados do Google ou em links patrocinados em redes sociais. Em segundo lugar, é fundamental verificar cuidadosamente a URL do site e, em caso de dúvida, fazer uma nova busca para confirmar a autenticidade.

Por fim, é essencial utilizar uma solução de segurança confiável em seus dispositivos, tanto em computadores quanto em smartphones, que ajude a bloquear sites falsos, detectar arquivos maliciosos e proteger contra outras ameaças digitais.