Kaspersky "Tusk" adı verilen bilgi ve kripto çalma kampanyası keşfetti

Kaspersky, kripto para ve hassas bilgileri çalmayı hedefleyen yeni bir çevrim içi dolandırıcılık kampanyası tespit etti.

Şirketten yapılan açıklamaya göre, web3, yapay zeka, çevrim içi oyunlar gibi popüler konuları istismar eden ve Rusça konuşan siber suçlular tarafından düzenlenen söz konusu kampanya bilgi hırsızı ve kırpıcı (clipper) gibi kötü amaçlı yazılımlar yayıyor.

Kaspersky Küresel Acil Durum Müdahale Ekibi (GERT), Windows ve macOS kullanıcılarını hedef alan bu dolandırıcılık kampanyasında, saldırganların sahte web siteleri kullanarak kurbanları kandırdığını belirledi. Bu siteler, yasal hizmetlerin tasarımını ve arayüzünü taklit ederek kripto platformları, çevrim içi rol yapma oyunları ve yapay zeka uygulamaları gibi popüler konular üzerinden kullanıcıları tuzağa düşürüyor.

Sahte web siteleri aracılığıyla kurbanları kandırarak kripto cüzdan anahtarları gibi hassas bilgileri elde eden saldırganlar, kullanıcılara kötü amaçlı yazılım indirterek kimlik bilgilerini, cüzdan ayrıntılarını ve diğer önemli verileri çalıyor. Saldırganlar daha sonra bu bilgileri kullanarak kurbanların kripto para cüzdanlarına erişip paralarını çekiyor.

Kaspersky, saldırganların sunucularına gönderilen zararlı kodlarda Rusça kelimeler tespit etti. Bu kodlarda, Rusça konuşan tehdit aktörlerinin "kurban" anlamında kullandığı "Mamut" kelimesi hem sunucu iletişimlerinde hem de kötü amaçlı yazılım indirme dosyalarında yer aldı. Kaspersky, mamutların dişleri için avlanmasına benzettiği bu kampanyanın finansal kazanç odaklı olduğunu vurgulayarak, kampanyaya "Tusk" adını verdi.

Kampanya, Danabot ve Stealc gibi bilgi çalan kötü amaçlı yazılımlar ile Go dilinde yazılmış açık kaynaklı bir kırpıcı varyantı yayıyor. Kullanılan kötü amaçlı yazılım, kampanyanın hedeflediği konuya göre farklılık gösteriyor. Bilgi hırsızları, kimlik bilgileri gibi hassas verileri çalmak için tasarlanırken, kırpıcılar ise pano verilerini izliyor. Eğer panoya bir kripto para cüzdanı adresi kopyalanırsa, kırpıcı bunu kötü amaçlı bir adresle değiştiriyor.

Kötü amaçlı yazılım yükleyici dosyaları Dropbox'ta barındırılıyor. Hedeflenen kişiler bu dosyaları indirdikten sonra, kötü amaçlı yazılımı gizleyen kullanıcı dostu arayüzlerle karşılaşıyor ve giriş yapmaları, kaydolmaları veya statik bir sayfada kalmaları isteniyor. Bu sırada, geriye kalan kötü amaçlı dosyalar ve yükler otomatik olarak indiriliyor ve sisteme yükleniyor.

Açıklamada görüşlerine yer verilen Kaspersky Küresel Acil Durum Müdahale Ekibi Olay Müdahale Birimi Başkanı Ayman Shaaban, bu kampanyaların çeşitli bölümleri ve altyapıları arasındaki korelasyonun, belirli finansal amaçları olan tek bir aktör veya grupla bağlantılı, iyi organize edilmiş bir operasyonu işaret ettiğini belirtti.

Shaaban, "Tehdit İstihbarat Portalımız, eski, kullanımdan kaldırılmış alt kampanyalar veya henüz başlatılmamış yeni kampanyalar dahil 16 altyapının belirlenmesine yardımcı oldu. Bu, tehdit aktörünün trend olan konulara hızla uyum sağlama ve buna karşılık olarak yeni kötü niyetli operasyonları devreye sokma becerisini gösteriyor. Bu durum, gelişen tehditlere karşı korunmak için sağlam güvenlik çözümlerine ve gelişmiş siber okuryazarlığa duyulan kritik ihtiyacın altını çiziyor." değerlendirmesinde bulundu.

Kaspersky, Tusk kampanyasıyla ilgili siber tehditlerden korunabilmek için bazı önerilerde de bulundu.

Şirket, öncelikle Kaspersky Digital Footprint Intelligence açılış sayfası aracılığıyla, şirket cihazları ve web uygulamalarının kimlik bilgilerinin siber suçlular tarafından ele geçirilip geçirilmediğini kontrol etmeyi öneriyor.

Güçlü bir uç nokta koruması için Kaspersky Next gibi EDR ve XDR çözümlerinin kullanılmasını tavsiye eden Kaspersky, ayrıca veri çalan kötü amaçlı yazılımlara ve kripto tehditlerine karşı korunmak amacıyla tüm cihazlarda Kaspersky Premium gibi kapsamlı bir güvenlik çözümünün kullanılmasının önemini vurguluyor.

Tusk kampanyasındaki tüm yeni zararlı örneklerin Kaspersky ürünleri tarafından tespit edilebildiğini belirten şirket, personelin siber güvenlik konusunda güncel kalması için ek eğitimlere yatırım yapılmasını öneriyor.

Kaspersky, bilgi çalan kötü amaçlı yazılımların genellikle parolaları hedef aldığını hatırlatarak, güvenli parolalar kullanmayı kolaylaştırmak için Kaspersky Password Manager gibi bir çözümün kullanılmasını tavsiye ediyor.