{"id":14440,"date":"2024-10-04T10:02:47","date_gmt":"2024-10-04T15:02:47","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=14440"},"modified":"2024-10-04T10:03:38","modified_gmt":"2024-10-04T15:03:38","slug":"kaspersky-descubre-tusk-una-campana-activa-de-robo-de-informacion-y-criptomonedasde-la-costa-al-amazonas-como-las-chromebooks-de-acer-pueden-transformar-la-educacion-en-colombia","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-descubre-tusk-una-campana-activa-de-robo-de-informacion-y-criptomonedasde-la-costa-al-amazonas-como-las-chromebooks-de-acer-pueden-transformar-la-educacion-en-colombia\/","title":{"rendered":"Kaspersky descubre ‘Tusk’, una campa\u00f1a activa de robo de informaci\u00f3n y criptomonedas"},"content":{"rendered":"\n

Los atacantes se aprovechan de temas populares para atraer a las v\u00edctimas con p\u00e1ginas web falsas que imitan de cerca el dise\u00f1o y la interfaz de varios servicios leg\u00edtimos.<\/p>\n\n\n\n

Octubre de 2024<\/p>\n\n\n\n

Kaspersky ha detectado una campa\u00f1a de fraude online, denominada \u2018Tusk<\/a>\u2019, dirigida al robo de criptomonedas e informaci\u00f3n sensible, aprovechando temas populares como web3, criptomonedas, IA, juegos online y m\u00e1s. Dirigida a personas de todo el mundo, propaga malware de robo de informaci\u00f3n y clippers.<\/p>\n\n\n\n

El Equipo Global de Respuesta a Emergencias de Kaspersky (GERT) ha detectado una campa\u00f1a de fraude dirigida a usuarios de Windows y macOS en todo el mundo<\/strong>, con el objetivo de robar criptomonedas e informaci\u00f3n personal. Los atacantes se aprovechan de temas populares para atraer a las v\u00edctimas con p\u00e1ginas web falsas que imitan de cerca el dise\u00f1o y la interfaz de varios servicios leg\u00edtimos. En casos recientes, han imitado una plataforma de criptomonedas, un juego de rol online y un traductor de IA. Aunque existen peque\u00f1as diferencias en los elementos de las p\u00e1ginas maliciosas, como el nombre y la URL, parecen pulidos y sofisticados, lo que aumenta la probabilidad de un ataque exitoso.<\/p>\n\n\n\n

Se atrae a las v\u00edctimas para que interact\u00faen con estas falsas configuraciones a trav\u00e9s de phishing. Las webs est\u00e1n dise\u00f1adas para enga\u00f1ar a las personas y hacer que revelen informaci\u00f3n sensible, como las contrase\u00f1as privadas de sus monederos de criptomonedas, o para descargar malware. A continuaci\u00f3n, los atacantes pueden conectarse a los monederos de criptomonedas de las v\u00edctimas a trav\u00e9s de la web falsa y vaciar sus fondos, o robar diversas credenciales, detalles de monederos y otra informaci\u00f3n utilizando el malware de robo de informaci\u00f3n.<\/p>\n\n\n\n

\u201cLa correlaci\u00f3n entre diferentes partes de esta campa\u00f1a y su infraestructura compartida sugiere una operaci\u00f3n bien organizada, posiblemente vinculada a un solo actor o grupo con motivos financieros espec\u00edficos. Adem\u00e1s de las tres subcampa\u00f1as dirigidas a temas de criptomonedas, IA y juegos, nuestro <\/em>Threat Intelligence Portal<\/em><\/a> ha ayudado a identificar infraestructura para otros 16 temas, ya sean subcampa\u00f1as anteriores, retiradas, o nuevas que a\u00fan no se han lanzado. Esto demuestra la capacidad del actor de amenazas para adaptarse r\u00e1pidamente a temas de tendencia y desplegar nuevas operaciones maliciosas en respuesta. Tambi\u00e9n subraya la necesidad cr\u00edtica de soluciones de seguridad s\u00f3lidasy una mayor alfabetizaci\u00f3n en ciberseguridad para protegerse contra amenazas en evoluci\u00f3n\u201d<\/em>, asegura Eduardo Chavarro,<\/strong> Gerente para Am\u00e9ricas del Equipo de Investigaci\u00f3n Global de Respuesta a Incidentes en Kaspersky.<\/strong><\/p>\n\n\n\n

Kaspersky descubri\u00f3 cadenas en el c\u00f3digo malicioso enviado a los servidores de los atacantes en ruso. La palabra \u201cMammoth\u201d (rus. \u201c\u041c\u0430\u043c\u043e\u043d\u0442\u201d)<\/strong>, una jerga utilizada por los actores de amenazas de habla rusa para referirse a una \u201cv\u00edctima\u201d, apareci\u00f3 tanto en las comunicaciones del servidor como en los archivos de descarga de malware. Kaspersky denomin\u00f3 la campa\u00f1a \u2018Tusk\u2019 para enfatizar su enfoque en el lucro financiero<\/strong>, haciendo una analog\u00eda con los mamuts cazados por sus valiosos colmillos.<\/p>\n\n\n\n

La campa\u00f1a est\u00e1 propagando malware de robo de informaci\u00f3n como Danabot y Stealc, as\u00ed como clippers, como una variante de c\u00f3digo abierto escrita en Go<\/strong> (el malware var\u00eda seg\u00fan el tema dentro de la campa\u00f1a). Los infostealers est\u00e1n dise\u00f1ados para robar informaci\u00f3n sensible como credenciales, mientras que los clippers monitorizan los datos del portapapeles. Si se copia una direcci\u00f3n de monedero de criptomonedas al portapapeles, el clipper la sustituye por una direcci\u00f3n maliciosa.<\/p>\n\n\n\n

Los archivos del cargador de malware est\u00e1n alojados en Dropbox. Una vez que las v\u00edctimas los descargan, se encuentran con interfaces f\u00e1ciles de usar que sirven como coberturas para el malware, lo que les solicita que inicien sesi\u00f3n, se registren o simplemente permanezcan en una p\u00e1gina est\u00e1tica. Mientras tanto, los archivos maliciosos restantes y las cargas \u00fatiles se descargan e instalan autom\u00e1ticamente en su sistema.<\/strong><\/p>\n\n\n\n

Para mitigar las ciberamenazas relacionadas con Tusk, los expertos de Kaspersky sugieren las siguientes medidas:<\/p>\n\n\n\n