Alertan por “Tusk”, campaña de fraude activa que roba información a usuarios de Windows y macOS

| 14:16 | Alfredo Narváez | Kaspersky
Kaspersky descubre 'Tusk', una campaña activa de robo de información y criptomonedas
¡Alertan a usuarios de Windows y Apple por “Tusk”! – Fotos: AFP

La empresa de ciberseguridad Kaspersky detectó una campaña de fraude online, llamada “Tusk“, dirigida al robo de criptomonedas e información sensible a través de un malware que se ha distribuido en todo el mundo a usuarios de Windows y macoS, según los especialistas en seguridad informática.

“Los atacantes se aprovechan de temas populares para atraer a las víctimas con páginas web falsas que imitan de cerca el diseño y la interfaz de varios servicios legítimos”.

Kaspersky

[TE RECOMENDAMOS: Cuidado con estafas por el estreno de “Joker: Folie à Deux”: se roban tus datos y dinero]

¡Cuidado con “Tusk”, campaña global de fraude!

El Equipo Global de Respuesta a Emergencias de Kaspersky detectó la campaña fraudulenta dirigida exclusivamente a usuarios de Windows y macOS, sistema operativo de Apple, a nivel global.

Los atacantes roban bitcoins e información personal aprovechándose de temas populares como web3, criptomonedas, IA y juegos online para atraer a las víctimas con sitios falsos que imitan el diseño e interfaz de servicios legítimos.

“En casos recientes, han imitado una plataforma de criptomonedas, un juego de rol online y un traductor de IA”, según el reporte de Kaspersky publicado el pasado 2 de octubre.

Aunque existen pequeñas diferencias en los elementos de las páginas maliciosas, como el nombre y la URL, parecen pulidos y sofisticados, lo que aumenta la probabilidad de un ataque exitoso.

¿Cómo funciona este sistema de estafas?

Los autores de “Tusk” atraen a sus víctimas llamándolas a interactuar con las páginas falsas a través de ataques de phishing, diseñadas para engañar a las personas y hacer que revelen información sensible, como sus contraseñas privadas de monederos de criptomonedas, o para descargar malware.

A continuación, los atacantes pueden conectarse a los monederos de bitcoins de las víctimas a través de la página falsa y robar lo siguiente con ayuda de malware:

  • Fondos
  • Credenciales
  • Detalles de monederos
  • Otra información

La campaña propaga malware, del tipo infostealer, como Danabot y Stealc, así como clippers, como una variante de código abierto escrita en Go (el malware varía según el tema dentro de la campaña).

  • Un clipper es un malware que intercepta el contenido del portapapeles y lo reemplaza de manera oculta con lo que el atacante quiere alterar, según ESET; un infostealer que se encarga de robar información preguardada en navegadores, de acuerdo con TELMEX-Scitum.

Los infostealers roban información sensible como credenciales y los clippers monitorizan los datos del portapapeles. “Si se copia una dirección de monedero de criptomonedas al portapapeles, el clipper la sustituye por una dirección maliciosa”, señala Kaspersky.

Los archivos del cargador de malware se alojan en Dropbox. una vez que las víctimas los descargan, se encuentran con interfaces fáciles de usar que sirven como “coberturas” para el malware.

“Les solicita que inicien sesión, se registren o simplemente permanezcan en una página estática. Mientras tanto, los archivos maliciosos restantes y las cargas útiles se descargan e instalan automáticamente en su sistema, de acuerdo con los especialistas de Kaspersky.

Recomendaciones para no caer en “Tusk”

Los cibercriminales detrás de “Tusk” se han aprovechado de 16 temas, incluyendo IA y juegos para aprovecharse de sus víctimas, según Eduardo Chavarro, Gerente para Américas del Equipo de Investigación Global de Respuesta a Incidentes en Kaspersky.

“Esto demuestra la capacidad del actor de amenazas para adaptarse rápidamente a temas de tendencia y desplegar nuevas operaciones maliciosas en respuesta. También subraya la necesidad crítica de soluciones de seguridad sólidas y una mayor alfabetización en ciberseguridad para protegerse contra amenazas en evolución”.

Kaspersky

Para mitigar las ciberamenazas relacionadas con “Tusk“, los expertos de Kaspersky sugieren las siguientes medidas: 

  • Verifica si las credenciales de los dispositivos o aplicaciones web de tu empresa han sido comprometidas por infostealers
  • Para protegerte contra el malware que roba datos y las amenazas relacionadas con criptomonedas, utiliza una solución de seguridad integral para cualquier dispositivo.
    • “Esto ayudará a prevenir infecciones y alertar sobre peligros, como webs sospechosas o correos electrónicos de phishing que pueden ser un vector inicial de infección”, según Kaspersky.
  • Invierte en cursos adicionales de ciberseguridad para el personal de tu empresa para mantenerlos actualizados con el conocimiento más reciente.
  • Usa un gestor de contraseñas para facilitar el uso de contraseñas seguras.

Cabe destacar que Kaspersky descubrió cadenas en el código malicioso enviado a los servidores de los atacantes en ruso.

La palabra “Mammoth” (“Мамонт” en ruso), una jerga utilizada por los actores de amenazas de habla rusa para referirse a una “víctima”, apareció tanto en las comunicaciones del servidor como en los archivos de descarga de malware.

Kaspersky denominó la campaña ‘Tusk’ para enfatizar su enfoque en el lucro financiero, haciendo una analogía con los mamuts cazados por sus valiosos colmillos.

Etiquetas: