O operațiune masivă de malware infostealer care cuprinde treizeci de campanii vizând o gamă largă de demografii și platforme de sistem a fost descoperită, atribuită unui grup de infractori cibernetici numit „Marko Polo”.
Actorii amenințării folosesc o varietate de canale de distribuție, inclusiv malvertisment, spearphishing și impersonare de branduri în jocuri online, criptomonede și software, pentru a răspândi 50 de tipuri de malware, inclusiv AMOS, Stealc și Rhadamanthys.
Potrivit Grupului Insikt de la Recorded Future, care a fost în urmărirea operațiunii Marko Polo, campania de malware a afectat mii de persoane, cu pierderi financiare potențiale în milioane de dolari.
„Datorită naturii răspândite a campaniei Marko Polo, Grupul Insikt suspectează că probabil zeci de mii de dispozitive au fost compromise la nivel global, expunând date personale și corporative sensibile”, avertizează Grupul Insikt al Recorded Future.
„Acest lucru prezintă riscuri semnificative atât pentru confidențialitatea consumatorilor, cât și pentru continuitatea afacerilor. Cu siguranță generând milioane de dolari în venituri ilicite, această operațiune subliniază și efectele economice negative ale unor astfel de activități infracționale cibernetice”.
Grupul Insikt raportează că Marko Polo se bazează în principal pe spearphishing prin mesaje directe pe platformele de socializare pentru a ajunge la ținte de mare valoare, cum ar fi influencerii de criptomonede, jucătorii de jocuri video, dezvoltatorii de software și alte persoane susceptibile să gestioneze date sau active valoroase.
Victimele sunt atrase să descarce software-uri maligne interacționând cu ceea ce sunt păcălite să creadă că sunt oportunități de muncă legitime sau colaborări la proiecte.
Unele dintre brandurile care sunt impersonate includ Fortnite (jocuri video), Party Icon (jocuri video), RuneScape (jocuri video), Rise Online World (jocuri video), Zoom (productivitate) și PeerMe (criptomonede).
Marko Polo folosește, de asemenea, branduri inventate de ei, care nu sunt legate de proiecte existente, cum ar fi Vortax/Vorion și VDeck (software de întâlniri), Wasper și PDFUnity (platforme de colaborare), SpectraRoom (comunicații cripto) și NightVerse (joc web3).
În unele cazuri, victimele sunt conduse către un site web pentru întâlniri virtuale false, mesaje și aplicații de jocuri, care sunt folosite pentru a instala malware. Alte campanii distribuie malware-ul prin fișiere executabile (.exe sau .dmg) în fișiere torrent.
Kitul de instrumente al lui Marko Polo este divers, arătând capacitatea grupului de amenințare de a efectua atacuri multi-platformă și multi-vector.
Pe Windows, se folosește HijackLoader pentru a livra Stealc, un info-stealer ușor folosit pentru a colecta date din browsere și aplicații de portofele de criptomonede, sau Rhadamanthys, un info-stealer mai specializat care vizează o gamă largă de aplicații și tipuri de date.
Într-o actualizare recentă, Rhadamanthys a adăugat un plugin clipper capabil să redirecționeze plățile cu criptomonede către portofelele atacatorilor, capacitatea de a recupera cookie-urile șterse ale contului Google și evaziunea de la Windows Defender.
Când ținta folosește macOS, Marko Polo implementează Atomic (‘AMOS’). Acest info-stealer a fost lansat la mijlocul anului 2023, închiriat infractorilor cibernetici pentru 1.000 de dolari/lună, permițându-le să fure diverse date stocate în browserele web.
AMOS poate de asemenea să forțeze semințele MetaMask și să fure parolele Keychain ale Apple pentru a obține parole WiFi, logările salvate, datele cardurilor de credit și alte informații criptate stocate pe macOS.
Campaniile malitioase implicate în malware-ul infostealer au cunoscut o creștere masivă de-a lungul anilor, cu actorii de amenințare vizând victime prin vulnerabilități zero-day, VPN-uri false, soluții pentru problemele de pe GitHub și chiar răspunsuri pe StackOverflow.
Aceste acreditări sunt apoi folosite pentru a sparge rețelele corporative, a efectua campanii de furt de date precum cele pe care le-am văzut cu masivele breșe ale conturilor SnowFlake și a provoca haos prin coruperea informațiilor de rutare a rețelei.
Pentru a reduce riscul de a descărca și rula malware-ul infostealer pe sistemul dvs., nu urmați linkurile partajate de străini și descărcați software-ul doar de pe site-urile oficiale ale proiectelor.
Mai mult, malware-ul folosit de Marko Polo este detectat de cele mai recente programe antivirus, așa că scanarea fișierelor descărcate înainte de a le executa ar trebui să întrerupă procesul de infectare înainte să înceapă.
Leave a Reply