Kaspersky ha detectado una campaña de fraude online, denominada ‘Tusk’, que se dirige al robo de criptomonedas e información sensible. La campaña utiliza páginas web falsas que imitan servicios legítimos y propaga malware de robo de información.
Campaña ‘Tusk’: Fraude online que aprovecha temas populares para robar criptomonedas
Kaspersky advierte sobre una campaña activa que propaga malware de robo de información y clippers, diseñada para engañar a usuarios de Windows y macOS.
Los expertos sugieren medidas de seguridad para protegerse contra estas amenazas.
(8/Oct/2024 – Panama24Horas web) Panamá.- Kaspersky ha detectado una campaña de fraude online, denominada ‘Tusk’, que se dirige al robo de criptomonedas e información sensible, aprovechando temas populares como web3, criptomonedas, inteligencia artificial (IA) y juegos online. Esta campaña, que afecta a usuarios de todo el mundo, propaga malware diseñado para el robo de información y clippers.
El Equipo Global de Respuesta a Emergencias de Kaspersky (GERT) ha observado que los atacantes están dirigiendo sus esfuerzos hacia usuarios de Windows y macOS con el fin de sustraer criptomonedas e información personal. Los atacantes utilizan temas populares para atraer a las víctimas mediante páginas web falsas que imitan de cerca el diseño y la interfaz de varios servicios legítimos. Recientemente, han creado imitaciones de plataformas de criptomonedas, juegos de rol online y traductores de IA. Aunque existen diferencias sutiles en los elementos de estas páginas maliciosas, como el nombre y la URL, su apariencia pulida y sofisticada aumenta la probabilidad de un ataque exitoso.
Las víctimas son inducidas a interactuar con estas falsas configuraciones a través de técnicas de phishing. Las webs están diseñadas para engañar a las personas y hacer que revelen información sensible, como las contraseñas privadas de sus monederos de criptomonedas, o para descargar malware. Esto permite a los atacantes acceder a los monederos de criptomonedas de las víctimas a través de la web falsa y vaciar sus fondos, además de robar diversas credenciales, detalles de monederos y otra información utilizando el malware de robo de información.
Eduardo Chavarro, Gerente para Américas del Equipo de Investigación Global de Respuesta a Incidentes en Kaspersky, afirmó: “La correlación entre diferentes partes de esta campaña y su infraestructura compartida sugiere una operación bien organizada, posiblemente vinculada a un solo actor o grupo con motivos financieros específicos. Además de las tres subcampañas dirigidas a temas de criptomonedas, IA y juegos, nuestro Threat Intelligence Portal ha ayudado a identificar infraestructura para otros 16 temas, ya sean subcampañas anteriores, retiradas o nuevas que aún no se han lanzado. Esto demuestra la capacidad del actor de amenazas para adaptarse rápidamente a temas de tendencia y desplegar nuevas operaciones maliciosas en respuesta. También subraya la necesidad crítica de soluciones de seguridad sólidas y una mayor alfabetización en ciberseguridad para protegerse contra amenazas en evolución”.
Kaspersky ha descubierto que en el código malicioso enviado a los servidores de los atacantes aparecen cadenas en ruso. La palabra “Mammoth” (rus. “Мамонт”), una jerga utilizada por los actores de amenazas de habla rusa para referirse a una “víctima”, se encuentra tanto en las comunicaciones del servidor como en los archivos de descarga de malware. La campaña ha sido denominada ‘Tusk’ para enfatizar su enfoque en el lucro financiero, haciendo una analogía con los mamuts cazados por sus valiosos colmillos.
La campaña está propagando malware de robo de información como Danabot y Stealc, así como clippers, que son una variante de código abierto escrita en Go (el malware varía según el tema dentro de la campaña). Los infostealers están diseñados para robar información sensible como credenciales, mientras que los clippers monitorizan los datos del portapapeles. Si se copia una dirección de monedero de criptomonedas al portapapeles, el clipper la sustituye por una dirección maliciosa. Los archivos del cargador de malware están alojados en Dropbox. Una vez que las víctimas los descargan, se encuentran con interfaces fáciles de usar que sirven como coberturas para el malware, solicitándoles que inicien sesión, se registren o simplemente permanezcan en una página estática. Mientras tanto, los archivos maliciosos restantes y las cargas útiles se descargan e instalan automáticamente en su sistema.
Para mitigar las ciberamenazas relacionadas con Tusk, los expertos de Kaspersky sugieren las siguientes medidas:
• Verificar si las credenciales de los dispositivos o aplicaciones web de tu empresa han sido comprometidas por infostealers a través de la página de aterrizaje de Kaspersky Digital Footprint Intelligence.
• Utilizar una solución de seguridad integral para cualquier dispositivo, como Kaspersky Premium, para protegerse contra el malware que roba datos y amenazas relacionadas con criptomonedas. Esto ayudará a prevenir infecciones y alertar sobre peligros, como webs sospechosas o correos electrónicos de phishing que pueden ser un vector inicial de infección. Todas las nuevas muestras maliciosas de la campaña Tusk ya pueden ser detectadas por los productos de Kaspersky.
• Invertir en cursos adicionales de ciberseguridad para el personal de tu empresa, manteniéndolos actualizados con el conocimiento más reciente. El entrenamiento experto de Kaspersky en Windows Incident Response permite a los especialistas experimentar en respuesta a incidentes para identificar los ataques más complejos y proporciona conocimientos concentrados de los expertos del Equipo Global de Respuesta a Emergencias (GERT) de la compañía.
• Dado que el malware que roba información suele dirigirse a contraseñas, se recomienda usar un gestor de contraseñas como Kaspersky Password Manager para facilitar el uso de contraseñas seguras.
El desglose técnico detallado de la campaña está disponible en Securelist.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *