Pesquisadores de cibersegurança lançaram luz sobre uma campanha sofisticada de roubo de informações que se passa por marcas legítimas para distribuir malware como DanaBot e StealC.
O agrupamento de atividades, orquestrado por criminosos cibernéticos de língua russa e coletivamente codinome Tusk, diz-se abranger várias sub-campanhas, aproveitando a reputação das plataformas para enganar os usuários a baixar o malware usando sites falsos e contas de mídia social.
"Todas as sub-campanhas ativas hospedam o inicializador no Dropbox," disseram os pesquisadores da Kaspersky, Elsayed Elrefaei e AbdulRhman Alfaifi.
Este inicializador é responsável por entregar amostras adicionais de malware à máquina da vítima, que são na maioria das vezes info-stealers (DanaBot e StealC) e clippers.
Das 19 sub-campanhas identificadas até o momento, três dizem estar atualmente ativas.
O nome "Tusk" é uma referência à palavra "Mammoth" usada pelos atores da ameaça em mensagens de log associadas ao inicializador inicial.
Vale ressaltar que mamute é um termo gíria frequentemente usado por grupos russos de e-crime para se referir às vítimas.
As campanhas também são notáveis por empregar táticas de phishing para enganar as vítimas a se desfazerem de suas informações pessoais e financeiras, que são então vendidas na dark web ou usadas para obter acesso não autorizado às suas contas de jogos e carteiras de criptomoedas.
A primeira das três sub-campanhas, conhecida como TidyMe, imita o peerme[.]io com um site similar hospedado em tidyme[.]io (bem como tidymeapp[.]io e tidyme[.]app) que solicita um clique para baixar um programa malicioso para sistemas Windows e macOS.
O executável é fornecido pelo Dropbox.
O inicializador é uma aplicação Electron que, ao ser lançada, pede à vítima para inserir o CAPTCHA exibido, após o qual a interface principal da aplicação é exibida, enquanto dois arquivos maliciosos adicionais são secretamente buscados e executados em segundo plano.
Ambos os payloads observadas na campanha são artefatos do Hijack Loader, que finalmente lançam uma variante do malware StealC com capacidades para colher uma ampla gama de informações.
RuneOnlineWorld ("runeonlineworld[.]io"), a segunda sub-campanha, envolve o uso de um site falso simulando um jogo massivamente multiplayer online (MMO) chamado Rise Online World para distribuir um inicializador similar que abre caminho para DanaBot e StealC em hosts comprometidos.
Também distribuído via Hijack Loader nesta campanha está um malware clipper baseado em Go que foi projetado para monitorar o conteúdo da área de transferência e substituir os endereços de carteira copiados pela vítima por uma carteira Bitcoin controlada pelo atacante para realizar transações fraudulentas.
Finalizando as campanhas ativas está Voico, que se passa por um projeto de tradutor de IA chamado YOUS (yous[.]ai) com um contraparte malicioso chamado voico[.]io a fim de disseminar um inicializador que, após a instalação, pede à vítima para preencher um formulário de registro contendo suas credenciais e, em seguida, registra as informações no console.
Os payloads finais exibem um comportamento semelhante ao da segunda sub-campanha, sendo a única distinção o malware StealC usado neste caso se comunica com um servidor de comando e controle (C2) diferente.
"As campanhas [...] demonstram a ameaça persistente e em evolução representada por criminosos cibernéticos habilidosos em imitar projetos legítimos para enganar as vítimas", disseram os pesquisadores.
A dependência de técnicas de engenharia social como phishing, aliada a mecanismos de entrega de malware em várias etapas, destaca as capacidades avançadas dos atores da ameaça envolvidos.
Ao explorar a confiança que os usuários depositam em plataformas conhecidas, esses agressores implantam efetivamente uma gama de malware projetado para roubar informações sensíveis, comprometer sistemas e, em última análise, obter ganho financeiro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...