Detecta Kaspersky fraude que usa temas de IA y criptomonedas para robar información
octubre 2, 2024Kaspersky detectó una campaña de fraude online llamada “Tusk”, dirigida al robo de criptomonedas e información sensible. Los atacantes aprovecharon temas populares como web3, criptomonedas, inteligencia artificial y juegos online para propagar malware de robo de información y clippers. La campaña afectó a personas en todo el mundo.
El Equipo Global de Respuesta a Emergencias de Kaspersky identificó que esta campaña se dirigió a usuarios de Windows y macOS. Los atacantes utilizaron páginas web falsas que imitan el diseño de servicios legítimos, lo que permitió el robo de criptomonedas e información personal. En casos recientes, los atacantes imitaron plataformas de criptomonedas, juegos de rol online y un traductor de inteligencia artificial.
Estas páginas web maliciosas engañaron a las víctimas para que interactuaran con configuraciones falsas mediante tácticas de phishing. Los sitios fueron diseñados para hacer que las personas revelaran información sensible, como contraseñas privadas de carteras de criptomonedas o para descargar malware. A través de estos sitios, los atacantes lograron conectarse a las cryptowallets de las víctimas y vaciaron sus fondos o robaron diversas credenciales.
Kaspersky explicó que la infraestructura de la campaña “Tusk” se compartió entre varias subcampañas, lo que sugiere una operación bien organizada. Se identificaron tres subcampañas centradas en criptomonedas, inteligencia artificial y juegos online. Además, el Threat Intelligence Portal de Kaspersky ayudó a detectar otras 16 posibles subcampañas, lo que subraya la capacidad del grupo atacante para adaptarse rápidamente a temas populares.
Kaspersky descubrió cadenas en el código malicioso enviadas a los servidores de los atacantes en ruso. La palabra “Mammoth” (rus. “Мамонт”) apareció tanto en las comunicaciones del servidor como en los archivos de descarga de malware. Esta jerga se utiliza para referirse a una “víctima”, lo que llevó a Kaspersky a denominar la campaña como ‘Tusk’, en referencia al lucro financiero obtenido por los atacantes.
La campaña propagó malware de robo de información como Danabot y Stealc, junto con clippers diseñados para monitorear los datos del portapapeles. Estos clippers sustituyeron las direcciones de monederos de criptomonedas copiadas en el portapapeles por direcciones maliciosas, facilitando el robo de criptomonedas.
Los archivos del cargador de malware fueron alojados en Dropbox, donde las víctimas descargaron las interfaces maliciosas. Al interactuar con estas interfaces, los usuarios permitieron que los archivos maliciosos restantes y las cargas útiles se instalaran automáticamente en sus sistemas.