A Equipa de Resposta a Emergências Globais (GERT) da Kaspersky detectou uma campanha de fraude, dirigida a utilizadores de Windows e macOS em todo o mundo, com o objectivo de ter acesso indevido a criptomoedas e roubar informações pessoais.
Os atacantes exploram tópicos populares para atrair as vítimas através de sites falsos que copiam o design e a interface de vários serviços legítimos, como a web3, moedas digitais, IA, jogos online. Embora existam pequenas diferenças nos elementos dos sítios maliciosos, como o nome e o URL, estes parecem polidos e sofisticados, aumentando a probabilidade de um ataque bem-sucedido.
As vítimas são levadas a interagir com estas falsas configurações através de esquemas de phishing. Os websites são concebidos para enganar as pessoas e levá-las a fornecer informações sensíveis, como credenciais de carteiras de criptomoedas, ou a descarregar malware. Através das informações disponibilizadas, os atacantes podem ter acesso às carteiras de criptomoedas das vítimas através do site falso e retirar os seus fundos, ou roubar várias credenciais, detalhes da wallet e outras informações utilizando o malware de roubo de informações.
«A correlação entre as diferentes partes desta campanha e a sua infraestrutura partilhada sugere uma operação bem organizada, possivelmente ligada a um único interveniente ou grupo com motivos financeiros específicos», afirma Ayman Shaaban, Chefe da Unidade de Resposta a Incidentes, Equipa Global de Resposta a Emergências, Kaspersky.
«Para além das três subcampanhas que visam as criptomoedas, a IA e jogos, o nosso Portal de Informações sobre Ameaças ajudou a identificar infraestruturas para outros 16 tópicos – quer subcampanhas mais antigas e retiradas, quer novas subcampanhas ainda não lançadas. Isto demonstra a capacidade dos cibercriminosos para se adaptar rapidamente aos tópicos populares e implementar novas operações maliciosas em resposta. Também sublinha a necessidade crítica de os utilizadores implementarem soluções de segurança robustas e de investirem na literacia digital para proteger contra ameaças em evolução».
A Kaspersky descobriu cadeias de caracteres no código malicioso enviado para os servidores dos atacantes em russo. A palavra “Mamute” (rus. “Мамонт”), uma gíria utilizada pelos agentes de ameaças de língua russa para se referirem a uma “vítima”, apareceu tanto nas comunicações com o servidor como nos ficheiros de download do malware. A Kaspersky apelidou a campanha de “Tusk” para enfatizar o seu foco no lucro financeiro, fazendo uma analogia com os mamutes caçados pelas suas valiosas presas.
A campanha está a espalhar malware para roubar informação, como o Danabot e o Stealc, bem como clippers, como uma variante de código aberto escrita em Go (o malware varia consoante o tópico da campanha). Os infostealers são concebidos para roubar informações sensíveis, como credenciais, enquanto os clippers monitorizam os dados da área de transferência. Se o endereço de uma carteira de criptomoedas for copiado para a área de transferência, o clipper substitui-o por um endereço malicioso.
Os ficheiros do carregador de malware estão alojados no Dropbox. Assim que as vítimas os descarregam, deparam-se com interfaces de fácil utilização que servem de cobertura para o malware, pedindo-lhes que entrem e que se inscrevam ou que permaneçam numa página estática. Entretanto, os restantes ficheiros maliciosos e payloads são automaticamente descarregados e instalados no seu sistema.
