Tusk: русскоязычные хакеры охотятся за криптовалютой по всему миру

«Лаборатория Касперского» раскрыла международную киберкампанию, направленную на кражу криптовалюты и личных данных пользователей Windows и MacOS по всему миру. Кампания получила название Tusk. За атаками, по всей видимости, стоят русскоязычные злоумышленники, использующие фишинговые сайты, инфостилеры и клипперы для достижения своих целей.

Злоумышленники действуют хитроумно и многоступенчато, заманивая жертв на фишинговые сайты, которые выглядят почти идентично легитимным сервисам. Для привлечения внимания используются популярные темы, такие как web3, криптовалюта, искусственный интеллект и онлайн-игры. Некоторые обнаруженные страницы мимикрируют под криптоплатформу, ролевую онлайн-игру и Al-переводчик. Фальшивые ресурсы выглядят настолько правдоподобно, что пользователи легко попадаются на уловку, вводя свои личные данные или скачивая вредоносное программное обеспечение.

Мошеннические сайты позволяют выманивать конфиденциальные данные пользователей, например приватные ключи для криптокошельков, а также загружать на устройство жертвы вредоносное ПО. В дальнейшем злоумышленники могут получить доступ к криптокошельку через поддельный сайт и вывести с него средства либо украсть учётные данные, реквизиты кошелька и другую информацию посредством вредоносных программ.

Арсенал киберпреступников включает инфостилеры Danabot и Stealc, а также клипперы. Первые нацелены на кражу паролей и другой конфиденциальной информации, в то время как клипперы перехватывают данные из буфера обмена, подменяя, например, адреса криптокошельков на вредоносные.

Файлы для загрузки вредоносного ПО размещаются в Dropbox. Жертва, скачав файл, переходит на сайт с привлекательным интерфейсом, где ей предлагают авторизоваться или просто не закрывать страницу. В это время загружается дополнительное вредоносное ПО, которое продолжает атаку.

Интересные детали были обнаружены в коде вредоносных программ. В нем содержатся строки на русском языке, а в файлах для загрузки встречается слово «Мамонт», которое русскоязычные киберпреступники часто используют для обозначения жертвы. Атакующие, по всей видимости, преследуют финансовые цели. Название кампании – Tusk («Бивень») – также отсылает к образу мамонта, за которым охотились ради ценных бивней.

Анализ, проведённый специалистами «Лаборатории Касперского», показал, что кампания Tusk тщательно спланирована и состоит из нескольких этапов. Эксперты уверены, что за этой серией атак может стоять как организованная группа, так и одинокий хакер, преследующий финансовые цели. В компании также отметили, что смогли обнаружить подкампании по разным популярным темам, в том числе криптовалюты, искусственного интеллекта и онлайн-игр, а также по 16 другим. Это говорит о том, что злоумышленники могут быстро адаптироваться к актуальной повестке и использовать её для атак на пользователей.