Експерти з кібербезпеки виявили нову масштабну фішингову кампанію під назвою Tusk, яка становить серйозну загрозу для користувачів Windows і MacOS по всьому світу. Ця складна атака спрямована на викрадення криптовалюти та конфіденційних даних, використовуючи комбінацію фішингових сайтів, інфостилерів та кліперів.
Механізм атаки: від фішингу до зараження малварем
Кампанія Tusk розпочинається з приманювання жертв на ретельно розроблені фішингові сайти. Ці ресурси майстерно імітують дизайн та інтерфейс популярних легітимних сервісів, пов’язаних з актуальними темами: криптовалюти, Web3, штучний інтелект та онлайн-ігри. Хоча при уважному розгляді можна помітити незначні відмінності в URL або назві, загалом фішингові сторінки виглядають досить переконливо.
Після того, як користувач потрапляє на фішинговий сайт, зловмисники отримують доступ до конфіденційної інформації, такої як приватні ключі криптогаманців. Крім того, на пристрої жертв завантажується шкідливе програмне забезпечення, включаючи інфостилери (наприклад, DanaBot і StealC) та кліпери.
Особливості розповсюдження малварі
Файли для завантаження шкідливого ПЗ розміщуються на популярному хмарному сервісі Dropbox. Після їх скачування користувач перенаправляється на привабливий сайт з інтуїтивно зрозумілим інтерфейсом, де його просять авторизуватися або просто не закривати сторінку. В цей час у фоновому режимі відбувається завантаження додаткових шкідливих файлів.
Технічні особливості та походження атаки
Аналіз коду малварі виявив присутність рядків російською мовою, а також використання слова “Мамонт” для позначення жертв – термін, який часто застосовують російськомовні кіберзлочинці. Це дає підстави припускати, що за атаками Tusk можуть стояти хакери з російськомовного середовища.
Важливо відзначити, що з 19 виявлених підкампаній Tusk 3 все ще залишаються активними, що підкреслює необхідність постійної пильності з боку користувачів та фахівців з кібербезпеки.
Експертна оцінка та рекомендації
За словами Кирила Семенова, керівника центру компетенції з виявлення та реагування на інциденти, Tusk є ретельно спланованою багатоетапною кампанією. Здатність зловмисників швидко адаптуватися до актуальних тем та використовувати їх для атак свідчить про високий рівень організації та потенційну небезпеку.
Для захисту від подібних атак рекомендується: регулярно оновлювати програмне забезпечення, використовувати надійні антивірусні рішення, бути обережними при переході за посиланнями та завантаженні файлів, а також перевіряти автентичність сайтів перед введенням конфіденційної інформації. Підвищення обізнаності користувачів щодо методів соціальної інженерії та фішингу залишається ключовим фактором у протидії таким складним кібератакам, як Tusk.