Investigadores de ciberseguridad han detectado una campaña de suplantación de identidad sofisticada que se aprovecha de marcas legítimas para distribuir malware como DanaBot y StealC.
El grupo, conocido como Tusk y compuesto por ciberdelincuentes de habla rusa, ha ejecutado varias subcampañas, utilizando la reputación de las plataformas para engañar a los usuarios y hacer que descarguen el malware a través de sitios falsos y cuentas de redes sociales.
Según los investigadores de Kaspersky Elsayed Elrefaei y AbdulRhman Alfaifi, todas las subcampañas activas alojan el descargador inicial en Dropbox. Este descargador es responsable de entregar muestras adicionales de malware a la máquina de la víctima, que son principalmente recolectores de información (DanaBot y StealC) y recortadores.
De las 19 subcampañas identificadas hasta la fecha, tres siguen activas. El nombre «Tusk» es una referencia a la palabra «Mamut» utilizada por los actores de amenazas en mensajes de registro asociados con el descargador inicial. Es importante señalar que mamut es un término coloquial utilizado por grupos delictivos electrónicos rusos para referirse a las víctimas.
Además de suplantar marcas legítimas, las campañas también usan tácticas de phishing para engañar a las víctimas y obtener su información personal y financiera, que luego se vende en la web oscura o se utiliza para obtener acceso no autorizado a sus cuentas de juegos y billeteras de criptomonedas.
La primera subcampaña, TidyMe, imita peerme[.]io con un sitio similar alojado en tidyme[.]io (así como tidymeapp[.]io y tidyme[.]app) que solicita descargas de programas maliciosos para sistemas Windows y macOS. El ejecutable se sirve desde Dropbox.
El descargador es una aplicación Electron que, al ser lanzada, solicita a la víctima ingresar el CAPTCHA mostrado, después de lo cual se muestra la interfaz de la aplicación principal, mientras que dos archivos maliciosos adicionales se descargan y ejecutan en segundo plano.
RuneOnlineWorld («runeonlineworld[.]io»), la segunda subcampaña, implica el uso de un sitio web falso que simula un juego multijugador en línea masivo (MMO) llamado Rise Online World para distribuir un descargador similar que allana el camino para DanaBot y StealC en hosts comprometidos.
Además, a través de Hijack Loader en esta campaña se distribuye un malware recortador basado en Go que monitorea el contenido del portapapeles y sustituye las direcciones de billeteras copiadas por la víctima con una billetera Bitcoin controlada por el atacante para realizar transacciones fraudulentas.
La tercera subcampaña, Voico, suplanta un proyecto de traductor de inteligencia artificial llamado YOUS (yous[.]ai) con una contraparte maliciosa llamada voico[.]io para difundir un descargador inicial que, tras la instalación, pide a la víctima que complete un formulario de registro con sus credenciales, y luego registra la información en la consola.
Estas campañas demuestran la persistente y evolutiva amenaza de los ciberdelincuentes que son hábiles en la imitación de proyectos legítimos para engañar a las víctimas. El uso de técnicas de ingeniería social como el phishing, combinado con mecanismos de entrega de malware en varias etapas, destaca las capacidades avanzadas de los actores de amenazas involucrados.
Al explotar la confianza que los usuarios depositan en plataformas conocidas, estos atacantes despliegan eficazmente una variedad de malware diseñado para robar información sensible, comprometer sistemas y, en última instancia, lograr ganancias financieras.
Vía The Hacker News
