Dünya genelindeki bireyleri hedef alan kampanyanın Rusça konuşan siber suçlular tarafından düzenlendiğine ve bilgi hırsızı ile kırpıcı (clipper) gibi kötü amaçlı yazılımlar yaydığına inanılıyor.
Kaspersky Küresel Acil Durum Müdahale Ekibi (GERT), dünya genelindeki Windows ve macOS kullanıcılarını hedef alan, kripto para ve kişisel bilgileri çalmayı amaçlayan bir dolandırıcılık kampanyası tespit etti. Saldırganlar, çeşitli yasal hizmetlerin tasarımını ve arayüzünü yakından taklit eden sahte web siteleriyle kurbanları cezbetmek için popüler konuları öne çıkarıyor. Son vakalarda bu siteler bir kripto platformunu, çevrimiçi bir rol yapma oyununu ve bir yapay zeka çevirmenini taklit etti. Kötü niyetli sitelerin isim ve URL gibi unsurlarında küçük farklılıklar olsa da, özenli ve sofistike görüntüleri başarılı saldırı olasılığını artırıyor.
Tusk kampanyasının bir parçası olarak oluşturulan, meşru kripto ve yapay zeka hizmetlerini taklit eden sahte web siteleri ve çevrimiçi oyun
Saldırının kurbanları, kimlik avı yoluyla bu sahte kurulumlarla etkileşime girmeye ikna ediliyor. Hazırlanan web siteleri, kripto cüzdan özel anahtarları gibi hassas bilgileri vermeleri veya kötü amaçlı yazılım indirmeleri için bireyleri kandırmak üzere tasarlanıyor. Saldırganlar daha sonra sahte site aracılığıyla kurbanların kripto para cüzdanlarına bağlanıp paralarını çekebiliyor ya da bilgi çalan kötü amaçlı yazılımı kullanarak çeşitli kimlik bilgilerini, cüzdan ayrıntılarını ve diğer bilgileri çalabiliyor.
Kaspersky Küresel Acil Durum Müdahale Ekibi Olay Müdahale Birimi Başkanı Ayman Shaaban, şunları söylüyor: "Bu kampanyanın farklı bölümleri ve paylaşılan altyapıları arasındaki korelasyon, muhtemelen belirli finansal amaçları olan tek bir aktör veya grupla bağlantılı, iyi organize edilmiş bir operasyona işaret ediyor. Kripto, yapay zeka ve oyun konularını hedef alan üç alt kampanyaya ek olarak, Tehdit İstihbarat Portalımız, eski, kullanımdan kaldırılmış alt kampanyalar veya henüz başlatılmamış yeni kampanyalar olmak üzere 16 diğer konu için hazırlanan altyapıların belirlenmesine yardımcı oldu. Bu, tehdit aktörünün trend olan konulara hızla uyum sağlama ve buna karşılık olarak yeni kötü niyetli operasyonları devreye sokma becerisini gösteriyor. Bu durum, gelişen tehditlere karşı korunmak için sağlam güvenlik çözümlerine ve gelişmiş siber okuryazarlığa duyulan kritik ihtiyacın altını çiziyor."
Kaspersky, saldırganların sunucularına gönderilen zararlı kodda Rusça sözcükler keşfetti. Rusça konuşan tehdit aktörleri tarafından "kurban" anlamında kullanılan "Mamut" kelimesi hem sunucu iletişimlerinde hem de kötü amaçlı yazılım indirme dosyalarında yer alıyordu. Kaspersky, dişleri için avlanan mamutlara benzeterek kampanyanın finansal kazanca odaklandığını vurgulamak için kampanyaya "Tusk" adını verdi.
Kampanya, Danabot ve Stealc gibi bilgi çalan kötü amaçlı yazılımların yanı sıra Go dilinde yazılmış açık kaynaklı bir varyant gibi kırpıcıları da yayıyor. Aracı olarak kullanılan kötü amaçlı yazılım, kampanyadaki konuya bağlı olarak değişiyor. Bilgi hırsızları kimlik bilgileri gibi hassas bilgileri çalmak için tasarlanırken, kırpıcılar pano verilerini izlemeye alıyor. Panoya bir kripto para cüzdanı adresi kopyalanırsa, kırpıcı bunu kötü amaçlı bir adresle değiştiriyor.
Kötü amaçlı yazılım yükleyici dosyaları Dropbox'ta barındırılıyor. Hedeflenen kişiler bunları indirdikten sonra, kötü amaçlı yazılım için kılıf görevi gören kullanıcı dostu arayüzlerle karşılaşıyorlar ve giriş yapmaları, kaydolmaları veya sadece statik bir sayfada kalmaları isteniyor. Bu arada, kalan kötü amaçlı dosyalar ve yükler otomatik olarak indiriliyor ve sisteme yükleniyor.
Oyuncuları hedefleyen kampanya dahilindeki kötü amaçlı yazılım indiricisinin kullanıcı arayüzü
Yapay zeka çevirmenlerinin kullanıcılarını hedef alan kampanyadaki kötü amaçlı yazılım indiricisinin kullanıcı arayüzü
Kampanyanın ayrıntılı teknik dökümünü Securelist'te bulabilirsiniz. Sürekli gelişen siber tehditler dünyasına daha derinlemesine dalmak ve kapsamlı bir ağ oluşturmak için 22-25 Ekim 2024 tarihleri arasında Bali'de on altıncısı düzenlenecek olan Kaspersky Güvenlik Analistleri Zirvesi'ne (Security Analyst Summit - SAS) katılın.
Kaspersky, Tusk ile ilgili siber tehditlere karşı önlem için aşağıdakileri öneriyor:
Özel Kaspersky Digital Footprint Intelligence açılış sayfası aracılığıyla şirketteki cihazlarınızın veya web uygulamalarınızın kimlik bilgilerinin bilgi hırsızları tarafından ele geçirilip geçirilmediğini kontrol edin.
Kaspersky Next gibi EDR ve XDR ile güvenliğinizi artıran güçlü bir uç nokta koruması edinin.
Veri çalan kötü amaçlı yazılımlara ve kripto tehditlerine karşı korunmak için tüm cihazlarınızda Kaspersky Premium gibi kapsamlı bir güvenlik çözümü kullanın. Bu, bulaşmaları önlemeye yardımcı olacak ve bulaşmanın ilk vektörü olabilecek şüpheli siteler veya kimlik avı e-postaları gibi tehlikelere karşı sizi uyaracaktır. Ayrıca Tusk kampanyasındaki tüm yeni zararlı örnekler Kaspersky ürünleri tarafından tespit edilebiliyor.
Personelinizi en son bilgilerle güncel tutmak için ek siber güvenlik eğitimlerine yatırım yapın. Kaspersky Expert Windows Olay Müdahalesi eğitimi, deneyimli uzmanların bile en karmaşık saldırıları tespit etmek için olay müdahalesi konusunda eğitim almasını sağlar ve şirketin Küresel Acil Durum Müdahale Ekibi (GERT) uzmanlarının bilgisini parmaklarınızın ucuna taşır.
Bilgi çalan kötü amaçlı yazılımlar genellikle parolaları hedef aldığından, güvenli parolalar kullanmayı kolaylaştırmak için bir Kaspersky Password Manager kullanın.
