Kaspersky descobre ‘Tusk’: campanha de roubo de informações e criptomoedas

A Equipa de Resposta a Emergências Globais (GERT) da Kaspersky detetou uma campanha de fraude, dirigida a utilizadores de Windows e macOS em todo o mundo, com o objetivo de ter acesso indevido a criptomoedas e roubar informações pessoais.
4 de Setembro, 2024

A Kaspersky detetou uma campanha de fraude online destinada a roubar criptomoedas e informações confidenciais, explorando tópicos populares como web3, moedas digitais, IA, jogos online e muito mais. A campanha visa indivíduos em todo o mundo e os especialistas acreditam que seja orquestrada por cibercriminosos que falam russo e que espalham malware de roubo de informações e clippers.

A Equipa de Resposta a Emergências Globais (GERT) da Kaspersky detetou uma campanha de fraude, dirigida a utilizadores de Windows e macOS em todo o mundo, com o objetivo de ter acesso indevido a criptomoedas e roubar informações pessoais. Os atacantes exploram tópicos populares para atrair as vítimas através de sites falsos que copiam o design e a interface de vários serviços legítimos. Em casos recentes, estes sites imitaram uma plataforma de criptomoedas, um jogo de role-playing online e um tradutor que recorre à Inteligência Artificial. Embora existam pequenas diferenças nos elementos dos sítios maliciosos, como o nome e o URL, estes parecem polidos e sofisticados, aumentando a probabilidade de um ataque bem-sucedido.

Uma imagem com texto, captura de ecrã, software, Software de multimédia

Descrição gerada automaticamenteUma imagem com texto, Cara humana, sorrir, captura de ecrã

Descrição gerada automaticamente
Uma imagem com texto, captura de ecrã, árvore, Jogo de pc

Descrição gerada automaticamente
Websites falsos criados no âmbito da campanha Tusk,
que imitam serviços legítimos de criptomoedas e de IA, bem como jogos online

As vítimas são levadas a interagir com estas falsas configurações através de esquemas de phishing. Os websites são concebidos para enganar as pessoas e levá-las a fornecer informações sensíveis, como credenciais de carteiras de criptomoedas, ou a descarregar malware. Através das informações disponibilizadas, os atacantes podem ter acesso às carteiras de criptomoedas das vítimas através do site falso e retirar os seus fundos, ou roubar várias credenciais, detalhes da wallet e outras informações utilizando o malware de roubo de informações. 

“A correlação entre as diferentes partes desta campanha e a sua infraestrutura partilhada sugere uma operação bem organizada, possivelmente ligada a um único interveniente ou grupo com motivos financeiros específicos”, afirma Ayman Shaaban, Chefe da Unidade de Resposta a Incidentes, Equipa Global de Resposta a Emergências, Kaspersky. 

“Para além das três subcampanhas que visam as criptomoedas, a IA e jogos, o nosso Portal de Informações sobre Ameaças ajudou a identificar infraestruturas para outros 16 tópicos – quer subcampanhas mais antigas e retiradas, quer novas subcampanhas ainda não lançadas. Isto demonstra a capacidade dos cibercriminosos para se adaptar rapidamente aos tópicos populares e implementar novas operações maliciosas em resposta. Também sublinha a necessidade crítica de os utilizadores implementarem soluções de segurança robustas e de investirem na literacia digital para proteger contra ameaças em evolução”.

A Kaspersky descobriu cadeias de caracteres no código malicioso enviado para os servidores dos atacantes em russo. A palavra “Mamute” (rus. “Мамонт”), uma gíria utilizada pelos agentes de ameaças de língua russa para se referirem a uma “vítima”, apareceu tanto nas comunicações com o servidor como nos ficheiros de download do malware. A Kaspersky apelidou a campanha de “Tusk” para enfatizar o seu foco no lucro financeiro, fazendo uma analogia com os mamutes caçados pelas suas valiosas presas.

A campanha está a espalhar malware para roubar informação, como o Danabot e o Stealc, bem como clippers, como uma variante de código aberto escrita em Go (o malware varia consoante o tópico da campanha). Os infostealers são concebidos para roubar informações sensíveis, como credenciais, enquanto os clippers monitorizam os dados da área de transferência. Se o endereço de uma carteira de criptomoedas for copiado para a área de transferência, o clipper substitui-o por um endereço malicioso.

Os ficheiros do carregador de malware estão alojados no Dropbox. Assim que as vítimas os descarregam, deparam-se com interfaces de fácil utilização que servem de cobertura para o malware, pedindo-lhes que entrem e que se inscrevam ou que permaneçam numa página estática. Entretanto, os restantes ficheiros maliciosos e payloads são automaticamente descarregados e instalados no seu sistema.

Opinião