卡巴斯基发现“Tusk”——活跃的信息和加密货币违法活动
卡巴斯基发现了一项针对全球用户的网络诈骗活动,该活动利用 Web3、加密货币、人工智能、在线游戏等热门话题窃取加密货币和敏感信息。该活动被认为是俄罗斯背景的网络犯罪分子策划的,并通过传播信息窃取和剪贴板劫持恶意软件来实施。
卡巴斯基全球应急响应团队(GERT)发现了一项针对全球Windows和macOS用户的欺诈活动,旨在窃取加密货币和个人资料。攻击者利用热门话题,通过模仿各种合法服务的网站设计与界面来诱骗受害者。最近的案例中,这些网站模仿了一个加密货币平台、一个在线角色扮演游戏和一个人工智能翻译器。 虽然恶意网站在名称和 URL 等元素上存在细微差别,但它们看起来精致而复杂,增加了攻击成功的可能性。
Tusk 活动中创建的假网站,伪装成合法的加密货币和人工智能服务以及在线游戏网站
受害者通过网络钓鱼被诱骗与这些虚假网站互动。这些网站旨在诱骗个人泄露敏感信息,如加密钱包私钥,或下载恶意软件。然后,攻击者可以通过虚假网站连接到受害者的加密货币钱包并盗取他们的资金,或者使用信息窃取恶意软件窃取各种凭证、钱包详细信息和其他信息。
“这项活动的不同部分之间的关联以及它们共享的基础设施表明这是一个组织严密的行动,可能与一个拥有特定经济动机的个人或组织有关,”卡巴斯基全球应急响应团队事件响应小组负责人Ayman Shaaban说:“除了针对加密货币、人工智能和游戏主题的三个子活动之外,我们的威胁情报门户还帮助识别了另外 16 个主题的基础设施——这些主题要么是较旧的、已停用的子活动,要么是尚未启动的新活动。这表明威胁行为者能够迅速适应热门话题并部署新的恶意行动。这突出了强大的安全解决方案和增强网络素养对于抵御不断变化的威胁的重要性。”
卡巴斯基在发送到攻击者服务器的恶意代码中发现了俄语字符串。其中单词“Mammoth”(俄语为“Мамонт”),这是俄语中威胁行为者用来指代“受害者”的俚语,出现在服务器通信和恶意软件下载文件中。卡巴斯基将这项活动命名为“Tusk(象牙)”,以强调其对经济利益的关注,并将其比作为了获取珍贵象牙而猎杀猛犸象。
这些攻击活动正在传播信息窃取恶意软件,如Danabot和Stealc,此外还有剪贴板劫持软件,例如用 Go 编写的开源变体(恶意软件根据活动中的主题而有所不同)。信息窃取软件旨在窃取敏感信息,如凭证,而剪贴板劫持软件则监控剪贴板数据。如果将加密货币钱包地址复制到剪贴板,剪贴板劫持软件会将其替换为恶意地址。
展开全文
恶意软件加载器文件托管在Dropbox上。一旦受害者下载它们,他们会遇到用户友好的界面,这些界面作为恶意软件的掩护,提示他们登录、注册或仅仅停留在静态页面上。与此同时,其余的恶意文件和有效载荷会自动下载并安装到他们的系统上。
针对游戏玩家和AI翻译器用户的恶意软件下载器的用户界面
该活动的详细技术细节发布在 Securelist 上。第十六届卡巴斯基安全分析师峰会(SAS)将于2024年10月22日至25日在巴厘岛举行,届时您将更深入地了解不断变化的网络威胁世界,并进行有见地的交流。
为了防范与“Tusk”相关的网络威胁,卡巴斯基建议采取以下措施:
· 如果您的公司遭遇了需要立即响应的网络安全事件,请联系卡巴斯基事件响应团队。
· 通过卡巴斯基数字足迹情报专用落地页面检查您公司设备或网络应用的凭证是否已被信息窃取软件泄露。
· 为了防范数据窃取恶意软件和加密货币威胁,建议个人在任何设备上使用全面的安全解决方案,例如卡巴斯基高级版。这将有助于防止感染并提醒用户注意危险,例如可疑网站或钓鱼邮件,这些可能是感染的初始途径。而“Tusk”活动中的所有新恶意样本已经可以被卡巴斯基产品检测到。
· 为您的员工投资额外的网络安全课程,让他们了解最新的知识。卡巴斯基Windows事件响应专家培训让经验丰富的专家也能接受事件响应培训,以识别最复杂的攻击,并从公司的全球应急响应小组(GERT)专家那里获得集中的知识。
· 由于窃取信息的恶意软件通常以密码为目标,因此请使用卡巴斯基密码管理器,以便更轻松地使用安全密码。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。
评论