BiznesINFO.pl Technologie Szkodnik Tusk zagraża Polakom. Rosyjscy analitycy wydali ostrzeżenie
Fot. Unsplash/KeepCoding

Szkodnik Tusk zagraża Polakom. Rosyjscy analitycy wydali ostrzeżenie

16 sierpnia 2024
Autor tekstu: Maciej Olanicki

Analitycy firmy Kaspersky Lab ostrzegają przed nowym atakiem przeprowadzonym przez rosyjskojęzycznych hakerów. Za pomocą fałszywej wersji popularnej w pewnych środowiskach usługi dystrybuowane jest złośliwe oprogramowanie. Jest ono wyspecjalizowane w pozyskiwaniu szczegółowych informacji o zainfekowanych komputerach z Windowsem i macOS-em. Dane są następnie przesyłane na serwery napastników w ramach skomplikowanej, wieloetapowej procedury, która dzięki swojej złożoności może nie zostać wykryta przez systemy antywirusowe. Trwająca kampania otrzymała od rosyjskich analityków kryptonim Tusk.

Tusk atakuje komputery z Windowsem i macOS-em. Odpowiedzialność przypisuje się rosyjskim hakerom

Nazwa kampanii to Tusk (ang. kieł), jednak nie ma to związku z polskim premierem. Po rosyjsku ofiary cyberataków nazywa się potocznie mamutami, co ma nawiązywać do przedhistorycznych polowań na te zwierzęta w celu pozyskania łupów - ich kłów. Analitycy Kaspersky Lab dostrzegli, że złośliwe oprogramowanie zawiera wiele rosyjskojęzycznych zwrotów , na czele z nazwami komend. Jest to co prawda za mało, by dokonać jednoznacznej atrybucji, niemniej fakt wykorzystania przez napastników slangu rosyjskich hakerów znacząco zmniejsza margines błędu.

Atak zostaje przeprowadzony z użyciem fałszywej wersji usługi peerme.io, która służy do zarządzania organizacjami i projektami w sposób zdecentralizowany, z użyciem blockchaina MultiversX. Dzięki niej można organizować pracę zespołów, w których z różnych powodów kluczowa jest anonimowość i zdecentralizowana struktura , tak aby wyłączenie (np. w wyniku aresztowania administratora) jednego węzła nie doprowadziło do kolapsu całej komunikacji. Kampania Tusk wykorzystuje do ataków usługi podobne do peerme.io, jedna ze zidentyfikowanych to nieaktywna już tidyme.io.

Setki tysięcy Polaków dostanie ważną wiadomość. Uwaga, są oficjalne wytyczne

Tusk udaje prawdziwą aplikację, a w tle pobiera malware i przesyła dane o zainfekowanym komputerze

Na fikcyjnej stronie zamiast przycisku pozwalającego na utworzenie nowego projektu znajdziemy przycisk pobierania. W ten sposób do fałszywej usługi wysyłany jest tzw. user-agent, czyli skrócona informacja z przeglądarki o tym, z jakiego oprogramowania i sprzętu korzystamy. To jest Tuskowi potrzebne do zidentyfikowania, czy dostarczyć złośliwe oprogramowanie w wersji na komputery z Windowsem, czy też na Maki. Napastnicy zadbali o to, aby dostarczyć kilka wariantów malware, jednak wszystkie przechowywane są na serwerach Drobpox.

Zobacz: Dzwoni do Ciebie taki numer? Nie odbieraj i nie oddzwaniaj, możesz stracić pieniądze

Oprócz pobierania złośliwego pobierania interakcja z fałszywymi usługami kończy się także nakłanianiem ofiar do podłączenia do serwisów portfelów z kryptowalutami. Dysponowanie nimi jest z pewnością częste wśród tych internautów, którzy poszukują zdecentralizowanych platform do koordynacji pracy bazujących na łańcuchach blokowych. Napastnicy upewniają się nawet, czy nie zaatakowali przypadkiem komputerów -botów i przed całkowitym zainfekowaniem ofiary żądają… weryfikacji z użyciem mechanizmu CAPTCHA .

Charakterystyczna cecha ataków przypisywanych Rosjanom

Gdy weryfikacja zostanie zakończona, uruchamiany jest plik JavaScript, który jest downloaderem - programem służącym do pobierania kolejnych złośliwych programów. Wówczas hakerzy mają już w zasadzie pełną dowolność w tym, jakie malware trafi na nasz komputer. Gdy ofiara myśli, że korzysta z narzędzia TidyMe, w tle z kont na Dropboksie pobierane są kolejne złośliwe pliki wykonywalne . Analizy Kaspersky Lab wykazały, że napastnicy ograniczają się do działań, które w ostatnim czasie wielokrotnie okazywały się charakterystyczne dla kampanii przypisywanych Rosjanom.

W ramach kampanii Tusk na ogromną skalę zbierane są informacje o infekowanych maszynach . Nie są czynione żadne jeszcze szkody, nie dochodzi np. do zaszyfrowania pamięci dla okupu. Rosyjscy hakerzy mogą zbierać informacje o zainfekowanych na chybił trafił maszynach także po to, by zidentyfikować te, które mają duże znaczenie. Zwłaszcza że, realizowane są jeszcze podkampanie (m.in. fałszywe gry MMO), co potwierdza, że celem jest identyfikacja możliwie jak największej liczby maszyn.

Jeśli w kampanii Tusk zainfekowany zostanie np. komputer działający w oczyszczalni ścieków czy zarządzający innymi elementami infrastruktury krytycznej, napastnicy będą o tym widzieć. Ich działanie może mieć charakter zwiadowczy . Gdy przyjdzie odpowiedni moment, mogą zdecydować o unieruchomieniu konkretnych, krytycznych stacji roboczych, wcześniejszych ofiar Tuska, zamiast marnować zasoby na atak wycelowany w domowe pecety przeciętnych Kowalskich.

Każdy powinien używać tego narzędzia. Szwajcarzy udostępnili za darmo dla wszystkich
Młoda kobieta oskarżona o “niemal doskonałe” oszustwa. "Socjal" ponad stan. Niesłychane, jak wpadła
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat