Kaspersky met en lumière une nouvelle campagne d’escroqueries baptisée Tusk. Orchestrée par des cybercriminels russes, elle utilise des sites web factices pour dérober des cryptomonnaies et des données sensibles sur les PC Windows et les Macs.
Les experts de Kaspersky révèlent avoir mis le doigt sur une nouvelle campagne d’arnaque en ligne. L’opération consiste à piéger les internautes avec de faux sites web imitant l’interface de plateformes légitimes. Les cybercriminels, vraisemblablement basés en Russie, visent les « utilisateurs de Windows et macOS partout dans le monde ».
La campagne a été baptisée « Tusk » (« défenses » en anglais) par les chercheurs, en référence au mot russe « mammoth » (« mammouth »en français) présent dans les messages échangés par les cybercriminels. Il s’agit d’un terme d’argot utilisé par les hackers russophones pour désigner une « victime ».
« Les mammouths étaient autrefois chassés par les anciens et leurs défenses étaient récoltées et vendues », explique le rapport de Kaspersky, soulignant que les pirates chassent les internautes en quête de gains financiers.
Des sites de phishing convaincants
Kaspersky explique avoir découvert une pléthore de sites de phishing mis en ligne par les hackers. Les experts ont notamment déniché « une plateforme de cryptomonnaie, un jeu de rôle en ligne et un service de traduction basé sur l’IA », qui copient des services populaires. Parmi les sites imités, on trouve peerme.io, une plateforme basée sur la blockchain MultiversX, un utilitaire appelé TidyMe.exe, ou le jeu vidéo RuneOnlineWorld.
Ces imitations sont « soignées et sophistiquées » afin d’endormir la méfiance des victimes. Comme l’explique la société russe, cette campagne « bien ficelée » est capable de « s’adapter rapidement aux sujets en vogue et à déployer de nouvelles opérations malveillantes en réaction ». Fidèles à leurs habitudes, les hackers vont surfer sur les thématiques les plus populaires du moment.
Pour Kaspersky, la campagne Tusk est « complexe », car elle est « composée de plusieurs sous-campagnes », construites autour de sites factices différents. Ces plateformes frauduleuses sont par ailleurs mises en avant sur les réseaux sociaux afin « d’augmenter leur crédibilité ».
Voler des cryptos et des données
L’objectif des cybercriminels est double. Tout d’abord, les pirates cherchent à dérober les cryptomonnaies détenues par les utilisateurs. Dans cette optique, ils vont convaincre les internautes de leur communiquer leurs clés privées. Ces clés permettent d’accéder à un portefeuille blockchain. Afin de récupérer ces informations, les sites affichent de fausses pages de connexion invitant les usagers à lier leur portefeuille blockchain. Une fois les clés volées, les pirates siphonnent les fonds détenus sur la chaîne de blocs.
Par ailleurs, les sites factices sont conçus pour propager des malwares sur l’ordinateur des victimes, surtout des virus de type Infostealer. Ce genre de logiciel malveillant est programmé pour exfiltrer des données personnelles, financières ou professionnelles, comme des identifiants de connexion, des mots de passe, des informations bancaires, des numéros de carte de crédit, ou encore des fichiers, sur un système. Parmi les virus utilisés dans la campagne Tusk, on trouve les redoutables et bien connus Danabot, un cheval de Troie bancaire qui sévit depuis 2018, ou Stealc, un malware récent qui se distingue par sa discrétion.
Kaspersky a aussi identifié des malwares de type « clippers ». Ces virus sont conçus pour intercepter et manipuler les données copiées dans le presse-papiers. Là encore, ces maliciels vont aboutir à la disparition de données sensibles, comme des mots de passe. Comme toujours, on vous recommande d’y réfléchir à deux fois avant de confier des données à des sites web, même s’il s’agit de plateformes connues.
Source : kaspersky