[16/08/2024] Kaspersky Global Emergency Response Team (GERT) ha detectado una campaña de fraude dirigida a usuarios de Windows y macOS de todo el mundo, cuyo objetivo es robar criptomoneda e información personal. Según lo señalado en el comunicado de prensa, los atacantes se aprovechan de tópicos populares para atraer a las víctimas con sitios web falsos que imitan fielmente el diseño y la interfaz de varios servicios legítimos. En casos recientes, estos sitios han imitado una plataforma de criptomonedas, un juego de rol en línea y un traductor de inteligencia artificial. Aunque hay pequeñas diferencias en elementos de los sitios maliciosos, como el nombre y la URL, parecen pulidos y sofisticados, lo que aumenta la probabilidad de que el ataque tenga éxito.
Ayman Shaaban, jefe de la Unidad de Respuesta a Incidentes, Equipo Global de Respuesta a Emergencias, Kaspersky, comentó que se atrae a las víctimas para que interactúen con estas configuraciones falsas mediante phishing. "Los sitios web están diseñados para engañar a las personas para que proporcionen información confidencial, como claves privadas de criptocarteras, o descarguen malware. Los atacantes pueden entonces conectarse a las carteras de criptomonedas de las víctimas a través del sitio falso y drenar sus fondos, o robar varias credenciales, detalles de la cartera y otra información utilizando el malware de robo de información”.
El ejecutivo agregó que la correlación entre las diferentes partes de esta campaña y su infraestructura compartida sugiere una operación bien organizada, posiblemente vinculada a un único actor o grupo con motivos financieros específicos. "Además de las tres subcampañas dirigidas a criptomonedas, IA y juegos, nuestro Portal de Inteligencia de Amenazas ha ayudado a identificar infraestructura para otros 16 temas, ya sean subcampañas antiguas retiradas o nuevas que aún no se han lanzado. Esto demuestra la capacidad del actor de la amenaza para adaptarse rápidamente a los temas de tendencia y desplegar nuevas operaciones maliciosas en respuesta. Subraya la necesidad crítica de contar con soluciones de seguridad robustas y una mayor ciberalfabetización para protegerse frente a las amenazas en evolución”.
Kaspersky descubrió cadenas en ruso en el código malicioso enviado a los servidores de los atacantes. "La palabra 'Mammoth' (rus. '??????'), argot utilizado por los actores de amenazas de habla rusa para referirse a una «víctima», apareció tanto en las comunicaciones del servidor como en los archivos de descarga del malware. Kaspersky bautizó la campaña como 'Tusk' (Colmillo) para enfatizar su enfoque en el beneficio económico, haciendo una analogía con los mamuts cazados por sus valiosos colmillos”, explicó Shaaban.
Agregó que, la campaña está propagando malware de robo de información como Danabot y Stealc, así como clippers como una variante de código abierto escrita en Go (el malware varía en función del tema dentro de la campaña). "Los infostealers están diseñados para robar información confidencial, como credenciales, mientras que los clippers vigilan los datos del portapapeles. Si se copia la dirección de una cartera de criptomoneda en el portapapeles, el clipper la sustituye por una dirección maliciosa”.
Shaaban anotó que los archivos cargadores de malware se alojan en Dropbox. "Una vez que las víctimas los descargan, se encuentran con interfaces fáciles de usar que sirven de tapadera para el malware y les piden que inicien sesión, se registren o simplemente permanezcan en una página estática. Mientras tanto, el resto de archivos maliciosos y cargas útiles se descargan e instalan automáticamente en su sistema”.
Franca Cavassa, CTOPerú