Securitate — August 20, 2024 at 4:27 pm

Kaspersky a descoprit campania activă „Tusk”, care fură informații și date cripto

by

Kaspersky a detectat o campanie de fraudă online menită să fure criptomonede și informații sensibile prin exploatarea subiectelor populare precum web3, cripto, AI, jocuri online și nu numai. Vizând indivizi din întreaga lume, campania pare să fie orchestrată de infractorii cibernetici vorbitori de limbă rusă și răspândește furtul de informații și malware clipper.

Kaspersky Global Emergency Response Team (GERT) a detectat o campanie de fraudare care vizează utilizatorii Windows și macOS din întreaga lume, menită să fure criptomonede și informații personale. Atacatorii exploatează subiecte populare pentru a atrage victimele cu site-uri web false, care imită îndeaproape designul și interfața diferitelor servicii legitime. În cazuri recente, aceste site-uri au imitat o platformă cripto, un joc online de tip RPG și un traducător AI.  Deși există diferențe minore în elementele site-urilor rău intenționate, cum ar fi numele și adresa URL, acestea par realizate atent și sofisticate, crescând probabilitatea de succes a atacului.

Imagine1

Imagine2

 

 

 

 

 

Site-uri web false create ca parte a campaniei Tusk, care imită servicii cripto și AI legitime și un RPG
Site-uri web false create ca parte a campaniei Tusk, care imită servicii cripto și AI legitime și un RPG

Victimele sunt atrase să interacționeze cu aceste site-uri prin phishing. Site-urile web sunt concepute pentru a convinge persoanele să ofere informații sensibile, cum ar fi cheile private pentru cripto-portofel, sau să descarce programe malware. Atacatorii se pot conecta apoi la portofelele cu criptomonede ale victimelor prin intermediul site-ului fals și pot retrage fondurile, sau fura alte informații importante, folosind malware-ul.

Kaspersky a descoperit stringuri în rusă în codul rău intenționat trimis pe serverele atacatorilor în limba rusă. Cuvântul „Mamut” (rus. „Мамонт”), argou folosit de atacatori vorbitori de limbă rusă pentru a desemna o „victimă”, a apărut atât în fișierele de comunicații ale serverului, cât și în fișierele de descărcare a programelor malware. Kaspersky a numit campania „Tusk” pentru a-și pune accentul pe câștigul financiar, făcând o analogie cu mamuții vânați pentru colții lor valoroși.

Campania răspândește malware infostealer, cum ar fi Danabot și Stealc, precum și clippere, cum ar fi o variantă open-source scrisă în Go (malware-ul variază în funcție de subiectul campaniei). Programele infostealers sunt concepute pentru a fura informații sensibile, cum ar fi acreditările, în timp ce dispozitivele clippers monitorizează datele din clipboard. Dacă adresa unui portofel cu criptomonede este copiată în clipboard, clipperul o înlocuiește cu o adresă rău intenționată.

Fișierele de încărcare a programelor malware sunt găzduite pe Dropbox. Odată ce victimele le descarcă, întâlnesc interfețe ușor de utilizat, care servesc drept acoperire pentru malware, determinându-le fie să se conecteze, fie să se înregistreze sau pur și simplu să rămână pe o pagină statică. Între timp, fișierele și payload-urile rău intenționate sunt descărcate și instalate automat în sistemul lor.

Interfața programului de descărcare de malware în campania care vizează gamerii
Interfața programului de descărcare de malware în campania care vizează gamerii

 

 Interfața programului de descărcare malware în campania care vizează utilizatorii programelor AI de traducere
Interfața programului de descărcare malware în campania care vizează utilizatorii programelor AI de traducere

Pentru a atenua amenințările cibernetice legate de Tusk, Kaspersky sugerează următoarele măsuri:

• Verificați dacă acreditările pentru dispozitivele sau aplicațiile web ale companiei dumneavoastră au fost compromise de programele de furt de informații prin intermediul paginii dedicate Kaspersky Digital Footprint Intelligence.
• Pentru a se proteja împotriva programelor malware de furt de date și a amenințărilor cripto, persoanele sunt sfătuite să folosească o soluție de securitate completă pentru orice dispozitiv, precum Kaspersky Premium. Acest lucru va ajuta la prevenirea infecțiilor și le va alerta asupra pericolelor, cum ar fi site-uri suspecte sau e-mailuri de phishing care pot fi un vector inițial de infecție. Și toate noile mostre rău intenționate din campania Tusk pot fi deja detectate de produsele Kaspersky.
• Investiți în cursuri suplimentare de securitate cibernetică pentru personalul dumneavoastră, pentru a-i ține la curent cu cele mai recente cunoștințe. Kaspersky Expert privind Windows Incident Response permite chiar și specialiștilor experimentați să se antreneze în ceea ce privește răspunsul la incidente pentru a identifica cele mai complexe atacuri și a aduce cunoștințe complexe de la experții echipei globale de răspuns la urgențe (GERT) ai companiei.
• Întrucât programele malware de furt de informații vizează de obicei parolele, utilizați Kaspersky Password Manager pentru a ușura utilizarea parolelor securizate.