Tusk: nueva campaña de fraude con temas de IA y criptomonedas

Kaspersky detectó una nueva campaña de fraude llamada “Tusk” dirigida al robo de criptomonedas e información personal mediante temas populares como la inteligencia artificial y las criptomonedas. Los ciberdelincuentes utilizaron tácticas de phishing y páginas web falsas que imitan el diseño de servicios legítimos para engañar a las víctimas. El fraude se ha extendido a nivel global, afectando a usuarios de Windows y macOS.

Campaña global de fraude

El Equipo Global de Respuesta a Emergencias de Kaspersky informó que la campaña “Tusk” utilizó una combinación de phishing y malware para robar criptomonedas y datos personales. Los atacantes aprovecharon temas como web3, juegos online y plataformas de inteligencia artificial para atraer a sus víctimas. Según el análisis de Kaspersky, las personas caían en estas trampas al visitar páginas web maliciosas que imitaban plataformas legítimas, como servicios de criptomonedas y aplicaciones de IA.

Los usuarios engañados por estas páginas proporcionaron credenciales importantes, como contraseñas de carteras de criptomonedas, o descargaron malware sin darse cuenta. Los atacantes lograron vaciar carteras de criptomonedas e interceptar otras credenciales valiosas. En algunos casos, las páginas web falsas imitaban plataformas de juegos online y hasta un traductor basado en inteligencia artificial.

Operación bien organizada

El análisis de Kaspersky reveló que la infraestructura de la campaña se compartió entre varias subcampañas. La firma de ciberseguridad identificó al menos tres subcampañas principales centradas en criptomonedas, IA y juegos online. Adicionalmente, el portal Threat Intelligence de Kaspersky permitió detectar otras 16 posibles subcampañas, lo que sugiere un alto nivel de organización por parte de los atacantes.

Además, se encontraron cadenas de texto en ruso dentro del código malicioso y en las comunicaciones con los servidores. La palabra “Mammoth” (rus. “Мамонт”) apareció repetidamente en las interacciones, y esta jerga en ruso se utiliza para referirse a las víctimas. Por este motivo, Kaspersky denominó la campaña como “Tusk”, en alusión a la obtención de ganancias ilícitas a partir de los fondos robados.

Los atacantes utilizaron malware de robo de información como Danabot y Stealc, junto con clippers especializados. Estos clippers monitorean las actividades del portapapeles de las víctimas y cambian las direcciones de las carteras de criptomonedas copiadas, sustituyéndolas por las direcciones maliciosas de los atacantes.

Uso de herramientas y servicios legítimos

La campaña “Tusk” se aprovechó de herramientas y servicios legítimos como Dropbox para alojar los archivos maliciosos. Los ciberdelincuentes diseñaron interfaces que parecían auténticas, lo que facilitó que las víctimas descargaran el malware. Al interactuar con estas interfaces, los usuarios permitieron que el resto del malware se instalara en sus dispositivos, poniendo en riesgo su seguridad y sus datos financieros.

Kaspersky recomendó a los usuarios mantenerse alertas al acceder a páginas relacionadas con criptomonedas y plataformas de IA, así como verificar siempre la autenticidad de las plataformas antes de ingresar cualquier información confidencial.