Kaspersky-nin kiberinsidentlərə reaksiya üzrə qlobal komandasının (Kaspersky Global Emergency Response Team, GERT) ekspertləri dünya üzrə “Windows” və “MacOS” əməliyyat sistemlərinin istifadəçilərinin kriptovalyuta və şəxsi məlumatlarının oğurlanmasına yönəlmiş saxta kampaniya aşkar ediblər. Ona “Tusk” adı verilib. Ehtimallara görə, hücumların arxasında rusdilli təcavüzkarlar komandası dayanır. Məlumatı oğurlamaq üçün fişinq resursları, infostilerlər və klipperlərdən (clipper) istifadə olunur.
Hücum sxemi. Təcavüzkarlar öncə qurbanları müxtəlif qanuni xidmətlərin dizaynını və interfeysini təqlid edən fişinq saytlarına cəlb edirlər. Bunun üçün web3, kriptovalyuta, süni intellekt, onlayn oyunlar kimi məşhur mövzulardan istifadə edirlər. Bəzi aşkar edilmiş səhifələr kripto platformasını, onlayn personaj oyununu və Al-tərcüməçini təqlid edir. Fişinq resurslarını diqqətlə öyrənsəniz, məsələn, ad və ya URL-də orijinaldan kiçik fərqlər görə bilərsiniz. Bununla belə, ümumilikdə onlar çox inandırıcı görünürlər, bu da uğurlu hücum ehtimalını artırır.
Fişinq resursları məxfi məlumatları, məsələn, kripto pul kisələri üçün şəxsi açarları ələ keçirməyə və zərərli proqramları qurbanın cihazına endirməyə imkan verir. Sonrasında isə təcavüzkarlar saxta internet saytı vasitəsilə kripto pul kisəsinə giriş əldə edə və oradan vəsait çıxara və ya zərərli proqram vasitəsilə hesab məlumatlarını, pul kisəsinin detallarını və digər məlumatları oğurlaya bilərlər.
Hücumlar üçün hansı zərərvericilərdən istifadə olunur. Kampaniyanın bir hissəsi kimi təcavüzkarlar “Danabot” və “Stealc” kimi infostilerləri, həmçinin klipperləri yayırlar. İnfostilerlər məxfi məlumatları (login və parollar daxil olmaqla) oğurlamaq üçün nəzərdə tutulub, klipper isə mübadilə buferindən (clipboard) məlumatları ələ keçirir. Məsələn, əgər istifadəçi elektron pul kisəsinin ünvanını mübadilə buferinə köçürürsə, klipper onu saxta ünvanla əvəz edə bilər.
Zərərli proqramı yükləmək üçün fayllar “Dropbox” fayl hostinqinə yerləşdirilir. Onları yüklədikdən sonra qurban rahat interfeysə malik olan cəlbedici resursa yönəlir ki, burada ondan avtorizasiyadan keçmək və ya sadəcə səhifəni bağlamaması xahiş olunur. Bu zaman digər zərərli fayllar endirilir.
Hücumların arxasında kim dayana bilər. Zərərli kodda rus dilində sətirlər var. Bundan əlavə, zərərli proqramı yükləmək üçün fayllarda rusdilli təcavüzkarların qurbanı ayırd etmək üçün istifadə etdiyi “Mamont” sözü var. Təcavüzkarların açıq-aşkar maliyyə məqsədləri güddüyü görünür. Kaspersky mütəxəssisləri bunu kampaniyanın adında yəni “Tusk” (“İri diş”) sözündə dəyərli dişlərinə görə ovlanan mamontlara bənzətməklə əks etdiriblər.
“Təhlilimiz göstərdi ki, bu, diqqətlə düşünülmüş kampaniyadır. Bunu digər şeylərlə yanaşı, hücumların bir neçə mərhələdən ibarət olması və bir-biri ilə əlaqəli olmasında da görmək olar. Kampaniyanın arxasında maliyyə məqsədləri güdən qrup və ya fərdi təcavüzkar dayana bilər. Kaspersky Threat Intelligence Portal sayəsində biz kriptovalyuta, süni intellekt və onlayn oyunlar, eləcə də digər 16 məşhur mövzuda alt kampaniyaları aşkarlaya bildik. Bu onu deməyə əsas verir ki, təcavüzkarlar cari gündəmə tez uyğunlaşa və ondan istifadəçilərə qarşı hücumlarda istifadə edə bilərlər”, – deyə Kaspersky-nin insidentlərin aşkarlanması və cavablandırılması üzrə mərkəzinin rəhbəri Kirill Semyonov bildirir.
“Tusk” kampaniyası ilə bağlı riskləri minimuma endirmək üçün Kaspersky mütəxəssisləri tövsiyə edirlər:
- şəxsi istifadəçilər – Kaspersky Premium kimi hərtərəfli təhlükəsizlik həllindən istifadə edin. O, cihazınızı infostilerlər və digər zərərli proqramların hücumlarından qorumağa kömək edəcək, həmçinin fişinq və digər şübhəli resurslara keçməyinizə mane olacaq. Bütün Kaspersky məhsulları “Tusk” kampaniyasında istifadə edilən zərərli nümunələri bloklayır;
- təşkilatlar – öz işçilərinizin təliminə sərmayə qoyun. Məsələn, mütəxəssislər üçün GERT mütəxəssislərinin hazırladığı Windows-da insidentlərə cavab verməsi üzrə təlim bu məqsəd üçün uyğundur, onun köməyi ilə hətta ən mürəkkəb hücum növlərinə də cavab verməyi öyrənə bilərsiniz. Müxtəlif profilli işçilərin təlimi üçün Kaspersky Automated Security Awareness Platform onlayn platformasından istifadə edə bilərsiniz;
- xüsusi xidmətlərdən istifadə edərək hesab məlumatlarına müdaxilə olunub-olunmadığını müntəzəm olaraq yoxlayın. Təşkilatlar Kaspersky Digital Footprint Intelligence-də xüsusi səhifədən, şəxsi istifadəçilər isə Kaspersky Password Checker-dən istifadə edə bilərlər;
- məlumatı şifrələnmiş formada saxlayan xüsusi şifrə menecerlərindən istifadə edin. Məsələn, Kaspersky Password Manager.
Əgər şirkətiniz ekspert təhlili tələb edən kibertəhlükəsizlik hadisəsi ilə üzləşibsə, araşdırma üçün sorğu göndərə bilərsiniz: https://www.kaspersky.ru/enterprise-security/contact-investigation.