Эксперты глобальной команды реагирования на киберинциденты «Лаборатории Касперского» обнаружили мошенническую кампанию, направленную на кражу криптовалюты и личных данных пользователей Windows и MacOS по всему миру. Она получила название Tusk. Предположительно, за атаками стоят русскоязычные злоумышленники.
По словам экспертов в области кибербезопасности, для кражи данных используются фишинговые ресурсы, инфостилеры и клипперы. Сначала злоумышленники заманивают жертв на фишинговые сайты, которые имитируют дизайн и интерфейс различных легитимных сервисов. Чтобы привлечь их внимание, они используют популярные темы, такие как web3, криптовалюта, искусственный интеллект, онлайн-игры. Некоторые обнаруженные страницы мимикрируют под криптоплатформу, ролевую онлайн-игру и Al-переводчик.
При внимательном изучении на фишинговых ресурсах можно увидеть небольшие отличия от оригинала, например в названии или URL. Однако в целом они выглядят очень правдоподобно, что повышает вероятность успешной атаки.
Фишинговые ресурсы позволяют выманивать конфиденциальные данные пользователей, например приватные ключи для криптокошельков, а также загружать на устройство жертвы вредоносное ПО. В дальнейшем злоумышленники могли получить доступ к криптокошельку через поддельный сайт и вывести с него средства либо украсть учетные данные, реквизиты кошелька и другую информацию посредством вредоносных программ.
Более того, в рамках кампании злоумышленники распространяли инфостилеры, такие как Danabot и Stealc, а также клипперы. Инфостилеры предназначены для кражи конфиденциальных данных (в том числе логинов и паролей), а клипперы перехватывают данные из буфера обмена. Например, если пользователь скопирует адрес электронного кошелька в буфер обмена, клиппер может подменить его на вредоносный.
Файлы для загрузки вредоносного ПО размещаются в Dropbox. После их загрузки жертва попадает на привлекательный ресурс с удобным интерфейсом, где ей предлагают авторизоваться или просто не закрывать страницу. В это время загружаются другие вредоносные файлы.
Во вредоносном коде содержатся строки на русском языке. Кроме того, в файлах для загрузки вредоносных программ встречалось слово «Мамонт», которое русскоязычные злоумышленники используют для обозначения жертвы. Атакующие, по всей видимости, преследуют финансовые цели. Эксперты «Лаборатории Касперского» отразили это в названии кампании — Tusk («Бивень»), по аналогии с мамонтами, за которыми охотились ради ценных бивней.
Кирилл Семенов, руководитель центра компетенции по обнаружению и реагированию на инциденты в «Лаборатории Касперского», прокомментировал: «Наш анализ показал, что речь идет о тщательно продуманной кампании. На это, в том числе, указывает то, что атаки состоят из нескольких этапов и взаимосвязаны. За ними может стоять как группа, так и отдельный злоумышленник, преследующий финансовые цели. Благодаря Kaspersky Threat Intelligence Portal мы смогли обнаружить подкампании по разным популярным темам, в том числе криптовалюты, искусственного интеллекта и онлайн-игр, а также по 16 другим. Это говорит о том, что злоумышленники могут быстро адаптироваться к актуальной повестке и использовать ее для атак на пользователей».
Ранее эксперты российской компании в сфере информационной безопасности, «Лаборатории Касперского» расслазали о том, как мошенники воруют Telegram-аккаунты фанатов Hamster Kombat. По данным «Лаборатории Касперского», в первом полугодии 2024 года количество попыток перехода российских пользователей на различные фишинговые ресурсы, мимикрирующие под Telegram, увеличилось почти на 22% по сравнению с аналогичным периодом прошлого года.
Читайте больше на нашем Telegram-канале!