カスペルスキーはTusk、まだ活動中の暗号資産盗難キャンペーンを発見

ジャカルタ - カスペルスキーのグローバル緊急対応チーム(Kaspersky Global Emergency Response Team/GERT)は、世界中のWindowsおよびmacOSユーザーを標的とした詐欺キャンペーンを検出することに成功しました。

「Tusk」と呼ばれるカスペルスキーは、これらの詐欺は、さまざまな正当なサービスの設計を模した偽のWebサイトで被害者をだますことによって、暗号資産や個人情報の盗難などの金銭的利益に焦点を当てていると考えています。

被害者は、フィッシングを介してこれらの誤った設定と対話するように説得されます。Webサイトは、個人をだまして、暗号ウォレットの秘密鍵、マルウェアのダウンロードなどの機密情報を提供するように設計されています。

攻撃者は、偽のWebサイトを介して被害者の暗号ウォレットに接続して資金を枯渇させたり、マルウェアインフォステアラーを使用してさまざまな資格情報、ウォレットの詳細、その他の情報を盗むことができます。

カスペルスキーは、ロシア語で攻撃者のサーバーに送信された悪意のあるコードのチェーンを発見しました。「マモス」(ロシア語。「マモス」という単語)、ロシア語の脅威アクターが「被害者」を指すために使用する現在の言語は、サーバー通信やマルウェアダウンロードファイルに表示されます。

その後、このキャンペーンは、DanabotやSte スなどのインフォスペアラーマルウェアや、Go で書かれたオープンソースのバリエーションなどのクリッパーを展開します(マルウェアはキャンペーンのトピックによって異なります)。

インフォスティーラーは資格情報などの機密情報を盗むように設計されていますが、クリッパーはクリップボードのデータを監視します。暗号ウォレットアドレスをクリップボードにコピーすると、クリッパーはそれを悪意のあるアドレスに置き換えます。

マルウェアの読み込みファイルは、Dropboxでホストされます。被害者がダウンロードすると、マルウェアの隠れとして機能する使いやすいインターフェイスが表示され、サインアップ、または静的ページにとどまるように求められます。

一方、残りの悪意のあるファイルやペイロードはダウンロードされ、システムに自動的にインストールされます。