ESET, compañía líder en detección proactiva de amenazas, ha emitido una alerta sobre una nueva campaña de engaño que utiliza un sitio web falso que se hace pasar por la popular aplicación de edición de videos CapCut para distribuir malware.
Este tipo de fraude aprovecha la popularidad de la app, que cuenta con aproximadamente 300 millones de usuarios activos mensuales y casi mil millones de descargas a nivel mundial, especialmente entre la comunidad de TikTok.
El engaño: variaciones imperceptibles en la URL y diseño falso
La campaña maliciosa, reportada originalmente por el usuario DaveTheResearcher en X, se basa en la creación de sitios falsos cuyas url presentan variaciones mínimas, casi imperceptibles, respecto a la oficial, lo que las hace parecer legítimas a primera vista. En el caso de CapCut, cuyo dominio oficial es www.capcut.com, la página falsa añade una “i” al final de la palabra “cut”, resultando en www.capcuti.com.
Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica, sugiere que este sitio falso pudo haber sido promovido a través de anuncios en los resultados de Google o en redes sociales, tácticas comunes para engañar a usuarios desprevenidos que hacen clic en los primeros resultados.
Además de la url, los cibercriminales han puesto especial cuidado en el diseño del sitio apócrifo, utilizando una estética muy similar a la del sitio oficial de CapCut para aumentar la credibilidad del engaño. Las portadas de ambos sitios, tanto el legítimo como el falso, muestran una similitud de estilos que puede confundir fácilmente a los usuarios.
Indicios de fraude: certificado HTTPS y archivo malicioso
ESET ha identificado un detalle crucial al analizar el sitio falso: el certificado utilizado para el protocolo HTTPS es válido únicamente desde el 8 de abril de 2025 hasta el 7 de julio de 2025. Esta corta duración es un indicio adicional para cuestionar la legitimidad del sitio y sugiere la posible ventana de tiempo de la campaña maliciosa, en contraste con los certificados de sitios legítimos que suelen tener una validez mucho más prolongada.
Como parte de su investigación, el equipo de ESET descargó el supuesto instalador de CapCut desde el sitio falso. Al hacer clic en el botón “Download for Windows”, se descargó un archivo comprimido en formato .zip que contenía un ejecutable con el nombre Installer-<NUMERO_INSTALACION>.exe y una carpeta llamada AppData. Este archivo ejecutable se reveló como un instalador NSIS con un script diseñado para instalar y ejecutar archivos maliciososen la máquina de la víctima.
Gutiérrez Amaya concluye que este caso es un ejemplo más de cómo los cibercriminales explotan la popularidad de aplicaciones y software muy utilizados para crear sitios falsos convincentes y distribuir malware. La sutilidad de las diferencias en estos sitios puede fácilmente engañar a quienes no presten la debida atención.
Consejos de ESET para evitar ser víctima
Para no ser víctimas de este tipo de engaños, ESET aconseja a los usuarios:
- No confiar ciegamente en los primeros resultados de Google o en sitios a los que se llega por anuncios en redes sociales.
- Analizar cuidadosamente la url del sitio: buscar variaciones, incluso mínimas, y realizar una segunda búsqueda o verificación ante cualquier duda.
- Instalar y mantener un software antimalware en todos los dispositivos. Este software debe ser capaz de identificar y bloquear sitios falsos, así como detectar y neutralizar cualquier archivo malicioso que intente descargarse o ejecutarse.
