Эксперты по кибербезопасности из «Лаборатории Касперского» выявили новую масштабную мошенническую кампанию под названием Tusk. Эта кампания представляет серьезную угрозу для пользователей операционных систем Windows и MacOS по всему миру, нацеленную на хищение криптовалюты и конфиденциальных данных.
Механизм атаки: от фишинга до вредоносного ПО
Злоумышленники используют многоэтапный подход для проведения атак. Начальная фаза включает в себя заманивание жертв на тщательно разработанные фишинговые сайты, имитирующие легитимные сервисы. Эти ресурсы охватывают популярные темы, такие как Web3, криптовалюта, искусственный интеллект и онлайн-игры, что позволяет привлечь широкий круг потенциальных жертв.
После того как пользователь попадает на фишинговый сайт, злоумышленники используют различные методы для кражи конфиденциальной информации, включая приватные ключи криптовалютных кошельков. Кроме того, на устройства жертв загружается вредоносное программное обеспечение (малварь).
Используемые типы вредоносного ПО
В рамках кампании Tusk распространяются следующие виды малвари:
- Стилеры (например, DanaBot и StealC) — программы для кражи данных
- Клипперы — вредоносное ПО, перехватывающее и подменяющее информацию в буфере обмена
Особую опасность представляют клипперы, способные заменять скопированные адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками, что приводит к прямым финансовым потерям для жертв.
Тактика распространения и маскировки
Злоумышленники проявляют изобретательность в распространении вредоносного ПО. Файлы для загрузки малвари размещаются на популярном облачном сервисе Dropbox, что повышает доверие пользователей. После загрузки файлов жертва перенаправляется на привлекательный ресурс с удобным интерфейсом, где ей предлагается авторизоваться или просто не закрывать страницу. В это время в фоновом режиме происходит загрузка дополнительных вредоносных компонентов.
Признаки русскоязычного происхождения
Анализ кода вредоносного ПО и сопутствующих файлов указывает на вероятное русскоязычное происхождение злоумышленников. В коде обнаружены строки на русском языке, а также использование термина «Мамонт», который часто применяется русскоязычными киберпреступниками для обозначения жертв.
Масштаб и адаптивность кампании
Кирилл Семёнов, руководитель центра компетенции по обнаружению и реагированию на инциденты в «Лаборатории Касперского», отмечает: «Наш анализ показал, что речь идет о тщательно продуманной кампании. На это, в том числе, указывает то, что атаки состоят из нескольких этапов и взаимосвязаны». Эксперты обнаружили 19 подкампаний, охватывающих различные популярные темы, что свидетельствует о высокой адаптивности злоумышленников к актуальной повестке.
Кампания Tusk демонстрирует растущую изощренность киберпреступников и подчеркивает необходимость постоянной бдительности пользователей. Для защиты от подобных атак рекомендуется использовать надежное антивирусное программное обеспечение, проявлять осторожность при посещении незнакомых веб-сайтов и не открывать подозрительные файлы или ссылки. Регулярное обновление операционных систем и программного обеспечения также играет ключевую роль в обеспечении кибербезопасности.