⚡️Исследователи из Лаборатории Касперского выкатили отчет в отношении сложной кампании Tusk, нацеленной на пользователей Windows и macOS, связанной с распространением вредоносного ПО DanaBot и StealC и маскировкой под легитимные бренды. Замеченный кластер активности организован русскоязычными хакерами и охватывает несколько как активных, так и неактивных подкампаний, реализующих начальный загрузчик на Dropbox, который отвечает за доставку дополнительных образцов вредоносного ПО, прежде всего, инфокрадов и клипперов. Из 19 выявленных подкампаний в настоящее время активны только три. Название Tusk обусловлено ссылкой на сленговый термин Mammoth, фигурирующий в записях журнала, связанных с первоначальным загрузчиком. Кампании также примечательны применением различных фишинговых тактик, главной целью которых является кража личной и финансовой информацией, которая впоследствии реализуется в даркнете или используется для доступа к игровым аккаунтам и криптокошелькам. Первая из трех подкампаний, известная как TidyMe, имитирует peerme[.]io с похожим сайтом, размещенным на tidyme[.]io (а также tidymeapp[.]io и tidyme[.]app), в рамках которой распространяется вредоносная ПО для Windows и macOS. Загрузчик представляет собой приложение Electron, которое при запуске предлагает жертве ввести отображаемую CAPTCHA, после чего отображается основной интерфейс приложения, в то время как два дополнительных вредоносных файла скрытно загружаются и выполняются в фоновом режиме. Оба вида вредоносной нагрузки, обнаруженные в ходе кампании, представляют собой Hijack Loader, которые в конечном итоге запускают штамм вредоносного ПО StealC, способного собирать широкий спектр информации. Вторая подкампания - RuneOnlineWorld («runeonlineworld[.]io»), предполагает использование фейкового сайта, имитирующего многопользовательскую онлайн-игру под названием Rise Online World, для распространения аналогичного загрузчика, который прокладывает путь для DanaBot и StealC на взломанных хостах. В ходе этой кампании через Hijack Loader также распространяется вредоносное ПО-клиппер на базе Go, предназначенное для мониторинга содержимого буфера обмена и подмены адресов криптокошельков для перехвата транзакций. Завершает активные кампании Voico, которая выдает себя за умного переводчика YOUS (yous[.]ai) с вредоносным аналогом, получившим название voico[.]io, с целью распространения начального загрузчика, который после установки просит жертву заполнить регистрационную форму, содержащую ее учетные данные, а затем регистрирует информацию на консоли. Окончательные полезные нагрузки демонстрируют такое же поведение, как и во второй подкампании, единственное отличие заключается в том, что вредоносная программа StealC, используемая в этом случае, взаимодействует с другим C2. Все кампании демонстрируют умелое применение методов социнженерии, включая фишинг, в сочетании с многоступенчатыми механизмами доставки вредоносного ПО, что подчеркивает передовые возможности задействованных субъектов угроз. #Скама_нет #FREEDUROV
1 год назад