Российские хакеры атакуют под видом известных брендов

Кибербезопасность находится под угрозой: группа русскоязычных хакеров, известная под кодовым названием «Tusk», использует фальшивые сайты и социальные сети для распространения вредоносного ПО. Злоумышленники маскируют свои действия под деятельность легитимных брендов, убеждая пользователей скачивать мошеннические программы.

На сегодняшний день идентифицировано 19 подкампаний, из которых три находятся в активной фазе. Хакеры используют для инициализации вредоносного ПО хранилище Dropbox, откуда и загружаются первичные загрузчики вирусов. Эти программы отвечают за дальнейшую доставку вредоносных файлов, включая крадущие информацию приложения DanaBot и StealC.

Особенно опасными являются методы социальной инженерии, такие как фишинг, что позволяет хакерам не только украсть персональные и финансовые данные жертв, но и получить доступ к их игровым аккаунтам и криптокошелькам.

В числе активных кампаний — TidyMe, имитирующая популярный сервис с обманчиво похожими доменами, и RuneOnlineWorld, создающая видимость MMO-игры, чтобы склонить пользователей к загрузке вредоносного ПО. В этих кампаниях используется многокомпонентная доставка вредоносных файлов, что усложняет их обнаружение и удаление.

Третья кампания, Voico, маскируется под проект AI-переводчика YOUS, вводя в заблуждение пользователей подложным сайтом и просит ввести личные данные при регистрации.