Szkodnik Tusk zagraża Polakom. Rosyjscy analitycy wydali ostrzeżenie

Tusk atakuje komputery z Windowsem i macOS-em. Odpowiedzialność przypisuje się rosyjskim hakerom

Nazwa kampanii to Tusk (ang. kieł), jednak nie ma to związku z polskim premierem. Po rosyjsku ofiary cyberataków nazywa się potocznie mamutami, co ma nawiązywać do przedhistorycznych polowań na te zwierzęta w celu pozyskania łupów - ich kłów. Analitycy Kaspersky Lab dostrzegli, że złośliwe oprogramowanie zawiera wiele rosyjskojęzycznych zwrotów , na czele z nazwami komend. Jest to co prawda za mało, by dokonać jednoznacznej atrybucji, niemniej fakt wykorzystania przez napastników slangu rosyjskich hakerów znacząco zmniejsza margines błędu.

Atak zostaje przeprowadzony z użyciem fałszywej wersji usługi peerme.io, która służy do zarządzania organizacjami i projektami w sposób zdecentralizowany, z użyciem blockchaina MultiversX. Dzięki niej można organizować pracę zespołów, w których z różnych powodów kluczowa jest anonimowość i zdecentralizowana struktura , tak aby wyłączenie (np. w wyniku aresztowania administratora) jednego węzła nie doprowadziło do kolapsu całej komunikacji. Kampania Tusk wykorzystuje do ataków usługi podobne do peerme.io, jedna ze zidentyfikowanych to nieaktywna już tidyme.io.

Tusk udaje prawdziwą aplikację, a w tle pobiera malware i przesyła dane o zainfekowanym komputerze

Na fikcyjnej stronie zamiast przycisku pozwalającego na utworzenie nowego projektu znajdziemy przycisk pobierania. W ten sposób do fałszywej usługi wysyłany jest tzw. user-agent, czyli skrócona informacja z przeglądarki o tym, z jakiego oprogramowania i sprzętu korzystamy. To jest Tuskowi potrzebne do zidentyfikowania, czy dostarczyć złośliwe oprogramowanie w wersji na komputery z Windowsem, czy też na Maki. Napastnicy zadbali o to, aby dostarczyć kilka wariantów malware, jednak wszystkie przechowywane są na serwerach Drobpox.

Zobacz: Dzwoni do Ciebie taki numer? Nie odbieraj i nie oddzwaniaj, możesz stracić pieniądze

Oprócz pobierania złośliwego pobierania interakcja z fałszywymi usługami kończy się także nakłanianiem ofiar do podłączenia do serwisów portfelów z kryptowalutami. Dysponowanie nimi jest z pewnością częste wśród tych internautów, którzy poszukują zdecentralizowanych platform do koordynacji pracy bazujących na łańcuchach blokowych. Napastnicy upewniają się nawet, czy nie zaatakowali przypadkiem komputerów -botów i przed całkowitym zainfekowaniem ofiary żądają… weryfikacji z użyciem mechanizmu CAPTCHA .

Charakterystyczna cecha ataków przypisywanych Rosjanom

Gdy weryfikacja zostanie zakończona, uruchamiany jest plik JavaScript, który jest downloaderem - programem służącym do pobierania kolejnych złośliwych programów. Wówczas hakerzy mają już w zasadzie pełną dowolność w tym, jakie malware trafi na nasz komputer. Gdy ofiara myśli, że korzysta z narzędzia TidyMe, w tle z kont na Dropboksie pobierane są kolejne złośliwe pliki wykonywalne . Analizy Kaspersky Lab wykazały, że napastnicy ograniczają się do działań, które w ostatnim czasie wielokrotnie okazywały się charakterystyczne dla kampanii przypisywanych Rosjanom.

W ramach kampanii Tusk na ogromną skalę zbierane są informacje o infekowanych maszynach . Nie są czynione żadne jeszcze szkody, nie dochodzi np. do zaszyfrowania pamięci dla okupu. Rosyjscy hakerzy mogą zbierać informacje o zainfekowanych na chybił trafił maszynach także po to, by zidentyfikować te, które mają duże znaczenie. Zwłaszcza że, realizowane są jeszcze podkampanie (m.in. fałszywe gry MMO), co potwierdza, że celem jest identyfikacja możliwie jak największej liczby maszyn.

Jeśli w kampanii Tusk zainfekowany zostanie np. komputer działający w oczyszczalni ścieków czy zarządzający innymi elementami infrastruktury krytycznej, napastnicy będą o tym widzieć. Ich działanie może mieć charakter zwiadowczy . Gdy przyjdzie odpowiedni moment, mogą zdecydować o unieruchomieniu konkretnych, krytycznych stacji roboczych, wcześniejszych ofiar Tuska, zamiast marnować zasoby na atak wycelowany w domowe pecety przeciętnych Kowalskich.