Sicherheitsexperten von Kaspersky haben eine umfangreiche Cyberkampagne namens „Tusk“ aufgedeckt, die auf den Diebstahl von Kryptowährungen und persönlichen Daten von Windows- und MacOS-Nutzern weltweit abzielt. Die mutmaßlich russischsprachigen Angreifer setzen dabei auf eine Kombination aus ausgeklügelten Phishing-Techniken, Infostealer-Malware und Clipboard-Hijacking.
Komplexe Phishing-Infrastruktur als Einstiegspunkt
Die Tusk-Kampagne beginnt mit der Verlockung von Opfern auf sorgfältig gestaltete Phishing-Websites. Diese imitieren täuschend echt die Benutzeroberflächen legitimer Dienste aus populären Bereichen wie Web3, Kryptowährungen, künstliche Intelligenz und Online-Gaming. Drei von 19 identifizierten Unterkampagnen sind laut Kaspersky noch aktiv.
Um Aufmerksamkeit zu erregen, greifen die Angreifer aktuelle Trendthemen auf. So wurden beispielsweise Krypto-Plattformen, Rollenspiele und KI-Übersetzer nachgeahmt. Obwohl die Phishing-Seiten bei genauer Betrachtung kleine Unterschiede wie abweichende URLs aufweisen, erscheinen sie auf den ersten Blick authentisch.
Mehrstufiger Infektionsprozess mit Malware-Payload
Über die Phishing-Seiten erlangen die Cyberkriminellen nicht nur sensible Benutzerdaten wie private Schlüssel von Krypto-Wallets, sondern installieren auch Malware auf den Geräten der Opfer. Dabei kommen verschiedene Schadsoftware-Typen zum Einsatz:
- Infostealer wie DanaBot und StealC zum Ausspähen von Daten
- Clipper zur Manipulation der Zwischenablage, z.B. zum Austausch von Wallet-Adressen
Die Malware-Dateien werden auf Dropbox gehostet und nach dem Download auf einer attraktiv gestalteten Webseite präsentiert. Während das Opfer zur Anmeldung oder zum Verweilen auf der Seite aufgefordert wird, lädt die Malware im Hintergrund weitere schädliche Komponenten nach.
Indizien für russischsprachige Urheber
Kaspersky-Experten fanden im Malware-Code russische Zeichenketten. Zudem taucht in den Dateien der Begriff „Mamont“ (russisch für „Mammut“) auf – ein in der russischsprachigen Cybercrime-Szene gebräuchlicher Slangbegriff für Opfer.
Expertenmeinung zur Tusk-Kampagne
Kirill Semjonow, Leiter des Incident Detection and Response Competence Center bei Kaspersky, kommentiert: „Unsere Analyse zeigt eine sorgfältig orchestrierte Kampagne mit mehrstufigen, zusammenhängenden Angriffen. Dahinter könnte sowohl eine Gruppe als auch ein Einzeltäter mit finanziellen Motiven stehen. Dank des Kaspersky Threat Intelligence Portals konnten wir Unterkampagnen zu verschiedenen Trendthemen wie Kryptowährungen, KI und Online-Gaming sowie 16 weitere identifizieren. Dies deutet auf die Fähigkeit der Angreifer hin, sich schnell an aktuelle Themen anzupassen und diese für Angriffe zu instrumentalisieren.“
Die Tusk-Kampagne unterstreicht die wachsende Bedrohung durch hochentwickelte Phishing- und Malware-Angriffe, insbesondere im Bereich Kryptowährungen. Unternehmen und Privatpersonen sollten ihre Cybersicherheitsmaßnahmen verstärken, verdächtige Links und Anhänge meiden sowie Multi-Faktor-Authentifizierung nutzen. Regelmäßige Sicherheitsupdates und der Einsatz zuverlässiger Antivirus-Software bleiben unverzichtbar, um sich vor solch ausgeklügelten Bedrohungen zu schützen.