Найти в Дзене
83 подписчика

⚡️Исследователи из Лаборатории Касперского выкатили отчет в отношении сложной кампании Tusk, нацеленной на пользователей Windows и macOS, связанной с распространением вредоносного ПО DanaBot и StealC и маскировкой под легитимные бренды.


Замеченный кластер активности организован русскоязычными хакерами и охватывает несколько как активных, так и неактивных подкампаний, реализующих начальный загрузчик на Dropbox, который отвечает за доставку дополнительных образцов вредоносного ПО, прежде всего, инфокрадов и клипперов.

Из 19 выявленных подкампаний в настоящее время активны только три.

Название Tusk обусловлено ссылкой на сленговый термин Mammoth, фигурирующий в записях журнала, связанных с первоначальным загрузчиком.

Кампании также примечательны применением различных фишинговых тактик, главной целью которых является кража личной и финансовой информацией, которая впоследствии реализуется в даркнете или используется для доступа к игровым аккаунтам и криптокошелькам.

Первая из трех подкампаний, известная как TidyMe, имитирует peerme[.]io с похожим сайтом, размещенным на tidyme[.]io (а также tidymeapp[.]io и tidyme[.]app), в рамках которой распространяется вредоносная ПО для Windows и macOS.

Загрузчик представляет собой приложение Electron, которое при запуске предлагает жертве ввести отображаемую CAPTCHA, после чего отображается основной интерфейс приложения, в то время как два дополнительных вредоносных файла скрытно загружаются и выполняются в фоновом режиме.

Оба вида вредоносной нагрузки, обнаруженные в ходе кампании, представляют собой Hijack Loader, которые в конечном итоге запускают штамм вредоносного ПО StealC, способного собирать широкий спектр информации.

Вторая подкампания - RuneOnlineWorld («runeonlineworld[.]io»), предполагает использование фейкового сайта, имитирующего многопользовательскую онлайн-игру под названием Rise Online World, для распространения аналогичного загрузчика, который прокладывает путь для DanaBot и StealC на взломанных хостах.

В ходе этой кампании через Hijack Loader также распространяется вредоносное ПО-клиппер на базе Go, предназначенное для мониторинга содержимого буфера обмена и подмены адресов криптокошельков для перехвата транзакций.

Завершает активные кампании Voico, которая выдает себя за умного переводчика YOUS (yous[.]ai) с вредоносным аналогом, получившим название voico[.]io, с целью распространения начального загрузчика, который после установки просит жертву заполнить регистрационную форму, содержащую ее учетные данные, а затем регистрирует информацию на консоли.

Окончательные полезные нагрузки демонстрируют такое же поведение, как и во второй подкампании, единственное отличие заключается в том, что вредоносная программа StealC, используемая в этом случае, взаимодействует с другим C2.

Все кампании демонстрируют умелое применение методов социнженерии, включая фишинг, в сочетании с многоступенчатыми механизмами доставки вредоносного ПО, что подчеркивает передовые возможности задействованных субъектов угроз.

#Скама_нет #FREEDUROV
⚡️Исследователи из Лаборатории Касперского выкатили отчет в отношении сложной кампании Tusk, нацеленной на пользователей Windows и macOS, связанной с распространением вредоносного ПО DanaBot и StealC
2 минуты