Alertas de Seguridad

Kaspersky descubre Tusk

Una campaña activa de robo de información y criptomonedas

[16/08/2024] Kaspersky Global Emergency Response Team (GERT) ha detectado una campaña de fraude dirigida a usuarios de Windows y macOS de todo el mundo, cuyo objetivo es robar criptomoneda e información personal. Según lo señalado en el comunicado de prensa, los atacantes se aprovechan de tópicos populares para atraer a las víctimas con sitios web falsos que imitan fielmente el diseño y la interfaz de varios servicios legítimos. En casos recientes, estos sitios han imitado una plataforma de criptomonedas, un juego de rol en línea y un traductor de inteligencia artificial. Aunque hay pequeñas diferencias en elementos de los sitios maliciosos, como el nombre y la URL, parecen pulidos y sofisticados, lo que aumenta la probabilidad de que el ataque tenga éxito.

Sitios web falsos creados como parte de la campaña Tusk, imitando servicios legítimos de criptomonedas e IA, y un juego en línea.

Ayman Shaaban, jefe de la Unidad de Respuesta a Incidentes, Equipo Global de Respuesta a Emergencias, Kaspersky, comentó que se atrae a las víctimas para que interactúen con estas configuraciones falsas mediante phishing. "Los sitios web están diseñados para engañar a las personas para que proporcionen información confidencial, como claves privadas de criptocarteras, o descarguen malware. Los atacantes pueden entonces conectarse a las carteras de criptomonedas de las víctimas a través del sitio falso y drenar sus fondos, o robar varias credenciales, detalles de la cartera y otra información utilizando el malware de robo de información.

El ejecutivo agregó que la correlación entre las diferentes partes de esta campaña y su infraestructura compartida sugiere una operación bien organizada, posiblemente vinculada a un único actor o grupo con motivos financieros específicos. "Además de las tres subcampañas dirigidas a criptomonedas, IA y juegos, nuestro Portal de Inteligencia de Amenazas ha ayudado a identificar infraestructura para otros 16 temas, ya sean subcampañas antiguas retiradas o nuevas que aún no se han lanzado. Esto demuestra la capacidad del actor de la amenaza para adaptarse rápidamente a los temas de tendencia y desplegar nuevas operaciones maliciosas en respuesta. Subraya la necesidad crítica de contar con soluciones de seguridad robustas y una mayor ciberalfabetización para protegerse frente a las amenazas en evolución.

Kaspersky descubrió cadenas en ruso en el código malicioso enviado a los servidores de los atacantes. "La palabra 'Mammoth' (rus. '??????'), argot utilizado por los actores de amenazas de habla rusa para referirse a una «víctima», apareció tanto en las comunicaciones del servidor como en los archivos de descarga del malware. Kaspersky bautizó la campaña como 'Tusk' (Colmillo) para enfatizar su enfoque en el beneficio económico, haciendo una analogía con los mamuts cazados por sus valiosos colmillos, explicó Shaaban.

Agregó que, la campaña está propagando malware de robo de información como Danabot y Stealc, así como clippers como una variante de código abierto escrita en Go (el malware varía en función del tema dentro de la campaña). "Los infostealers están diseñados para robar información confidencial, como credenciales, mientras que los clippers vigilan los datos del portapapeles. Si se copia la dirección de una cartera de criptomoneda en el portapapeles, el clipper la sustituye por una dirección maliciosa.

Interfaz de usuario de los descargadores de malware en las campañas dirigidas a jugadores y usuarios de traductores de IA.
Kaspersky Tusk, web3, cripto, IA, juegos online

Shaaban anotó que los archivos cargadores de malware se alojan en Dropbox. "Una vez que las víctimas los descargan, se encuentran con interfaces fáciles de usar que sirven de tapadera para el malware y les piden que inicien sesión, se registren o simplemente permanezcan en una página estática. Mientras tanto, el resto de archivos maliciosos y cargas útiles se descargan e instalan automáticamente en su sistema.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »