თბილისი, 27 აგვისტო. „კასპერსკის ლაბორატორიის“ გლობალური კიბერ ინციდენტების
რეაგირების ჯგუფის ექსპერტებმა (Kaspersky Global Emergency Response Team, GERT)
აღმოაჩინეს თაღლითური კამპანია, რომელიც მიზნად ისახავს კრიპტოვალუტის და
პერსონალური მონაცემების მოპარვას Windows და MacOS მომხმარებლებისგან მთელს
მსოფლიოში. მას დაარქვეს Tusk-ი. სავარაუდოდ, თავდასხმების უკან რუსულენოვანი
თავდამსხმელები დგანან. მონაცემების მოსაპარად იყენებენ ფიშინგ რესურსებს,
ინფორმაციის მოპარვას და კლიპერებს.
„კასპერსკის ლაბორატორია“ იუწყება, რომ თავდამსხმელები პირველ რიგში ატყუებენ
მსხვერპლს ფიშინგ საიტებზე, სადაც ახდენენ სხვადასხვა ლეგიტიმური სერვისების
დიზაინსა და ინტერფეისის იმიტაციას. მათი ყურადღების მისაპყრობად ისინი იყენებენ
პოპულარულ თემებს, როგორიცაა web3, კრიპტოვალუტა, ხელოვნური ინტელექტი,
ონლაინ თამაშები. ზოგიერთი აღმოჩენილი გვერდი წარმოადგენს კრიპტო პლატფორმის,
ონლაინ როლური თამაშების და Al -მთარგმნელის იმიტაციას. თუ ყურადღებით
შეისწავლით ფიშინგის რესურსებს, შეგიძლიათ იხილოთ მცირე განსხვავებები
ორიგინალისგან, მაგალითად, სახელში ან URL-ში. თუმცა, ზოგადად ისინი ძალიან
დამაჯერებლად გამოიყურებიან, რაც ზრდის წარმატებული შეტევის ალბათობას.
ფიშინგის რესურსები საშუალებას გაძლევთ გააყალბოთ მომხმარებლის
კონფიდენციალური მონაცემები, როგორიცაა კრიპტო საფულეების პირადი გასაღებები
და ჩამოტვირთოთ მავნე პროგრამა მსხვერპლის მოწყობილობაზე. მომავალში,
თავდამსხმელებს ყალბი ვებსაიტის საშუალებით შეუძლიათ მიიღონ წვდომა კრიპტო
საფულეზე და მისგან თანხები ამოიღონ, ან მავნე პროგრამის საშუალებით მოიპარონ
ანგარიშები, საფულის რეკვიზიტები და სხვა ინფორმაცია.
კამპანიის ფარგლებში, თავდამსხმელები ავრცელებდნენ ინფოსლიტერებს, ისეთებს
როგორებიც არიან Danabot და Stealc, ასევე კლიპერებს. ინფორმაციის მპარავი შექმნილია
კონფიდენციალური მონაცემების მოსაპარად (მათ შორის ლოგინებისა და პაროლების),
ხოლო კლიპერები წყვეტენ მონაცემებს ბუფერიდან. მაგალითად, თუ მომხმარებელი
დააკოპირებს ელექტრონული საფულის მისამართს გაცვლის ბუფერში, კლიპერს
შეუძლია შეცვალოს ის მავნე მისამართით.
მავნე პროგრამების ჩამოტვირთვის ფაილები განთავსებულია Dropbox-ში. მათი
ჩამოტვირთვის შემდეგ მსხვერპლი აღმოჩნდება მიმზიდველ რესურსზე მოსახერხებელი
ინტერფეისით, სადაც მას სთხოვენ შევიდეს ან უბრალოდ არ დახუროს გვერდი. ამ დროს
ხდება სხვა მავნე ფაილების ჩამოიტვირთვა.
Tusk-ის მავნე კოდი შეიცავს სტრიქონებს რუსულ ენაზე. გარდა ამისა, მავნე პროგრამის
ჩამოტვირთვის ფაილებში გვხვდებოდა სიტყვა „მამონტი“, რომელსაც რუსულენოვანი
თავდამსხმელები იყენებენ მსხვერპლის მოსახსენიებლად. როგორც ჩანს,
თავდამსხმელებს ამოძრავებდათ ფინანსური მიზნები. „კასპერსკის ლაბორატორიის“
ექსპერტებმა ეს ასახეს კამპანიის სახელწოდებაში – Tusk („ეშვი“), მამონტების
ანალოგიით, რომლებზეც ნადირობდნენ მათი ძვირფასი ეშვის გამო.
„ჩვენმა ანალიზმა აჩვენა, რომ ეს არის საგულდაგულოდ გააზრებული კამპანია. ამაზე,
სხვა საკითხებთან ერთად, მიუთითებს ის ფაქტი, რომ თავდასხმები რამდენიმე
ეტაპისგან შედგება და ურთიერთკავშირშია. მათ უკან შეიძლება იდგეს როგორც ჯგუფი,
ასევე ინდივიდუალური თავდამსხმელი, რომელიც ფინანსურ მიზნებს მისდევს.
Kaspersky Threat Intelligence Portal-ის წყალობით, ჩვენ შევძელით ქვეკამპანიების აღმოჩენა
სხვადასხვა პოპულარულ თემებზე, მათ შორის კრიპტოვალუტაზე, ხელოვნურ
ინტელექტსა და ონლაინ თამაშებზე, ასევე 16 სხვა თემაზე. ეს მიგვითითებს იმაზე, რომ
თავდამსხმელებს შეუძლიათ სწრაფად მოერგონ მიმდინარე დღის წესრიგს და
გამოიყენონ ის მომხმარებლებზე თავდასხმისთვის“, – ამბობს „კასპერსკის
ლაბორატორიის“ ინციდენტების გამოვლენისა და რეაგირების კომპეტენციის ცენტრის
ხელმძღვანელი კირილ სემიონოვი.
