Cybersecurityonderzoekers hebben een geavanceerde campagne ontdekt die informatie steelt en legitieme merken nabootst om malware zoals DanaBot en StealC te verspreiden.
De activiteitencluster, georkestreerd door Russischtalige cybercriminelen en gezamenlijk codenaam Tusk dragend, zou verschillende subcampagnes omvatten. Deze campagnes misbruiken de reputatie van de platforms om gebruikers ertoe te verleiden de malware te downloaden via valse sites en sociale media-accounts.
“Alle actieve subcampagnes hosten de initiële downloader op Dropbox,” aldus Kaspersky-onderzoekers Elsayed Elrefaei en AbdulRhman Alfaifi. “Deze downloader is verantwoordelijk voor het leveren van extra malware-samples aan de machine van het slachtoffer, die voornamelijk info-stealers (DanaBot en StealC) en clippers zijn.”
Van de 19 subcampagnes die tot nu toe zijn geïdentificeerd, zouden er drie momenteel actief zijn. De naam “Tusk” is een verwijzing naar het woord “Mammoth” dat door de dreigingsactoren wordt gebruikt in logberichten die zijn gekoppeld aan de oorspronkelijke downloader. Het is vermeldenswaard dat mammoth een slangterm is die vaak wordt gebruikt door Russische e-crimegroepen om te verwijzen naar slachtoffers.
Opvallend bij deze campagnes is dat ze gebruikmaken van phishingtactieken om slachtoffers te misleiden en hen hun persoonlijke en financiële gegevens te laten verstrekken. Deze gegevens worden vervolgens verkocht op het dark web of gebruikt om ongeautoriseerde toegang te krijgen tot hun gamingaccounts en cryptocurrency-wallets.
De eerste van de drie subcampagnes, bekend als TidyMe, imiteert peerme(.)io met een vergelijkbare site die wordt gehost op tidyme(.)io (en tidymeapp(.)io en tidyme(.)app) die vraagt om te klikken om een schadelijk programma te downloaden voor zowel Windows- als macOS-systemen dat wordt aangeboden via Dropbox.
De downloader is een Electron-applicatie die, wanneer deze wordt gestart, het slachtoffer vraagt om de CAPTCHA in te voeren die wordt weergegeven. Hierna wordt de hoofdinterface van de applicatie weergegeven, terwijl er op de achtergrond heimelijk twee extra schadelijke bestanden worden opgehaald en uitgevoerd.
Beide payloads die in de campagne zijn waargenomen, zijn Hijack Loader-artefacten, die uiteindelijk een variant van de StealC-stealer-malware lanceren die een breed scala aan informatie kan verzamelen.
RuneOnlineWorld (“runeonlineworld(.)io”), de tweede subcampagne, maakt gebruik van een valse website die een massively multiplayer online (MMO) game genaamd Rise Online World simuleert om een vergelijkbare downloader te verspreiden die de weg vrijmaakt voor DanaBot en StealC op gecompromitteerde hosts.
Via Hijack Loader wordt in deze campagne ook een op Go gebaseerde clipper-malware verspreid. Deze malware is ontworpen om de inhoud van het klembord te monitoren en door het slachtoffer gekopieerde wallet-adressen te vervangen door een door de aanvaller gecontroleerde Bitcoin-wallet om frauduleuze transacties uit te voeren.
De actieve campagnes worden afgerond met Voico, dat een AI-vertaalproject genaamd YOUS (yous(.)ai) imiteert met een kwaadaardige tegenhanger genaamd voico(.)io om een eerste downloader te verspreiden die, na installatie, het slachtoffer vraagt om een registratieformulier in te vullen met zijn/haar inloggegevens en die informatie vervolgens op de console vastlegt.
De uiteindelijke payloads vertonen vergelijkbaar gedrag als die van de tweede subcampagne. Het enige verschil is dat de StealC-malware die in dit geval wordt gebruikt, communiceert met een andere command-and-control (C2)-server.
“De campagnes (…) tonen de aanhoudende en evoluerende dreiging aan die cybercriminelen vormen die bedreven zijn in het nabootsen van legitieme projecten om slachtoffers te misleiden,” aldus de onderzoekers. “De afhankelijkheid van social engineering-technieken zoals phishing, gekoppeld aan multistage malware-afleveringsmechanismen, benadrukt de geavanceerde mogelijkheden van de betrokken dreigingsactoren.”
“Door misbruik te maken van het vertrouwen dat gebruikers hebben in bekende platforms, kunnen deze aanvallers effectief een scala aan malware inzetten die is ontworpen om gevoelige informatie te stelen, systemen te compromitteren en uiteindelijk financieel gewin te behalen.”