Kaspersky Küresel Acil Durum Müdahale Ekibi (GERT), dünya genelindeki Windows ve macOS kullanıcılarını hedef alan, kripto para ve kişisel bilgileri çalmayı amaçlayan bir dolandırıcılık kampanyası tespit etti. Saldırganlar, çeşitli yasal hizmetlerin tasarımını ve arayüzünü yakından taklit eden sahte web siteleriyle kurbanları cezbetmek için popüler konuları öne çıkarıyor. Son vakalarda bu siteler bir kripto platformunu, çevrimiçi bir rol yapma oyununu ve bir yapay zeka çevirmenini taklit etti. Kötü niyetli sitelerin isim ve URL gibi unsurlarında küçük farklılıklar olsa da, özenli ve sofistike görüntüleri başarılı saldırı olasılığını artırıyor.

Saldırının kurbanları, kimlik avı yoluyla bu sahte kurulumlarla etkileşime girmeye ikna ediliyor. Hazırlanan web siteleri, kripto cüzdan özel anahtarları gibi hassas bilgileri vermeleri veya kötü amaçlı yazılım indirmeleri için bireyleri kandırmak üzere tasarlanıyor. Saldırganlar daha sonra sahte site aracılığıyla kurbanların kripto para cüzdanlarına bağlanıp paralarını çekebiliyor ya da bilgi çalan kötü amaçlı yazılımı kullanarak çeşitli kimlik bilgilerini, cüzdan ayrıntılarını ve diğer bilgileri çalabiliyor.

Kaspersky Küresel Acil Durum Müdahale Ekibi Olay Müdahale Birimi Başkanı Ayman Shaaban, şunları söylüyor: “Bu kampanyanın farklı bölümleri ve paylaşılan altyapıları arasındaki korelasyon, muhtemelen belirli finansal amaçları olan tek bir aktör veya grupla bağlantılı, iyi organize edilmiş bir operasyona işaret ediyor. Kripto, yapay zeka ve oyun konularını hedef alan üç alt kampanyaya ek olarak, Tehdit İstihbarat Portalımız, eski, kullanımdan kaldırılmış alt kampanyalar veya henüz başlatılmamış yeni kampanyalar olmak üzere 16 diğer konu için hazırlanan altyapıların belirlenmesine yardımcı oldu. Bu, tehdit aktörünün trend olan konulara hızla uyum sağlama ve buna karşılık olarak yeni kötü niyetli operasyonları devreye sokma becerisini gösteriyor. Bu durum, gelişen tehditlere karşı korunmak için sağlam güvenlik çözümlerine ve gelişmiş siber okuryazarlığa duyulan kritik ihtiyacın altını çiziyor.”

Kaspersky, saldırganların sunucularına gönderilen zararlı kodda Rusça sözcükler keşfetti. Rusça konuşan tehdit aktörleri tarafından “kurban” anlamında kullanılan “Mamut” kelimesi hem sunucu iletişimlerinde hem de kötü amaçlı yazılım indirme dosyalarında yer alıyordu. Kaspersky, dişleri için avlanan mamutlara benzeterek kampanyanın finansal kazanca odaklandığını vurgulamak için kampanyaya “Tusk” adını verdi.

Kampanya, Danabot ve Stealc gibi bilgi çalan kötü amaçlı yazılımların yanı sıra Go dilinde yazılmış açık kaynaklı bir varyant gibi kırpıcıları da yayıyor. Aracı olarak kullanılan kötü amaçlı yazılım, kampanyadaki konuya bağlı olarak değişiyor. Bilgi hırsızları kimlik bilgileri gibi hassas bilgileri çalmak için tasarlanırken, kırpıcılar pano verilerini izlemeye alıyor. Panoya bir kripto para cüzdanı adresi kopyalanırsa, kırpıcı bunu kötü amaçlı bir adresle değiştiriyor.

Kötü amaçlı yazılım yükleyici dosyaları Dropbox’ta barındırılıyor. Hedeflenen kişiler bunları indirdikten sonra, kötü amaçlı yazılım için kılıf görevi gören kullanıcı dostu arayüzlerle karşılaşıyorlar ve giriş yapmaları, kaydolmaları veya sadece statik bir sayfada kalmaları isteniyor. Bu arada, kalan kötü amaçlı dosyalar ve yükler otomatik olarak indiriliyor ve sisteme yükleniyor.