Kaspersky Trouve Tusk, une campagne de vol d’actifs cryptographiques toujours active
JAKARTA - L’équipe mondiale d’intervention en cas d’urgence de Kaspersky (GERT) a détecté avec succès des campagnes frauduleuses ciblant les utilisateurs de Windows et macOS dans le monde entier.
Appelé « Tusk », Kaspersky considère que cette escroquerie est axée sur les bénéfices financiers, tels que le vol d’actifs cryptographiques et de renseignements personnels, en trompe les victimes avec de faux sites Web imitant les conceptions de divers services légitimes.
Les victimes seront encouragées à interagir avec ces faux paramètres par le biais de phishing. Le site Web est conçu pour tromper les particuliers pour fournir des informations sensibles, telles que des clés personnelles pour des portefeuilles cryptographiques ou le téléchargement de logiciels malveillants.
Les assaillants peuvent ensuite se connecter aux portefeuilles cryptographiques de la victime via de faux sites et gâcher leurs fonds, ou voler une variété d’identifications, de détails de portefeuille et d’autres informations à l’aide d’infostealers.
Kaspersky a trouvé une bande dans un code malveillant envoyé sur un serveur de l’attaquant en russe. Le mot « mamoth » (rus. « maprav؟»), une langue immorale utilisée par les auteurs de menaces russes pour référer à « la victime », apparaît dans la communication du serveur et dans les fichiers téléchargés de logiciels malveillants.
La campagne a ensuite diffusé des informaticiens malveillants tels que Danabot et SteAlc, ainsi que des cloneurs tels que des variantes à code ouvert écrites dans Go (les logiciels malveillants varient en fonction du sujet de la campagne).
L’infostealer est conçu pour voler des informations sensibles telles que des informations d’identification, tandis que le clipper surveille les données du tableau d’affichage. Si l’adresse de portefeuille cryptographique est copiée sur un tableau d’affichage, le clipper la remplace par une adresse dangereuse.
Les fichiers contenant des logiciels malveillants sont ensuite hébergés dans Dropbox. Une fois que la victime le téléchargera, ils rencontreront une interface facile à utiliser qui sert de plate-forme pour les logiciels malveillants, qui leur demandent d’identifier, de s’inscrire ou de rester sur une page statistique.
Pendant ce temps, les fichiers et les téléchargements malveillants restants seront téléchargés et installés automatiquement sur leurs systèmes.