Търсене
Close this search box.

Разкрита е мащабна операция за извличане на информация чрез зловреден софтуер, включваща тридесет кампании, насочени към широк спектър от демографски групи и системни платформи, която се приписва на киберпрестъпна група, наречена „Marko Polo“.

“ Извършителите използват разнообразни канали за разпространение, включително злонамерена реклама, spearphishing и имитация на марки в онлайн игри, криптовалути и софтуер, за да разпространят 50 зловредни товара, включително AMOS, Stealc и Rhadamanthys.

Според Insikt Group на Recorded Future, която проследява операцията на Marko Polo, злонамерената кампания е засегнала хиляди хора, като потенциалните финансови загуби са милиони.

„Въз основа на широко разпространения характер на кампанията на Marko Polo, Insikt Group подозира, че вероятно десетки хиляди устройства са били компрометирани в световен мащаб – излагайки на риск чувствителни лични и корпоративни данни“, предупреждава Insikt Group от Recorded Future.

„Това създава значителни рискове както за неприкосновеността на личния живот на потребителите, така и за непрекъснатостта на бизнеса. Почти сигурно генерирайки милиони долари незаконни приходи, тази операция също така подчертава отрицателните икономически последици от подобни киберпрестъпни дейности.“

Поставянето на капани с висока стойност

Insikt Group съобщава, че Marko Polo разчита предимно на spearphishing чрез директни съобщения в платформите на социалните медии, за да достигне до цели с висока стойност, като влиятелни лица в областта на криптовалутите, геймъри, разработчици на софтуер и други хора, които могат да боравят с ценни данни или активи.

Жертвите са подмамени да изтеглят зловреден софтуер, като взаимодействат с това, което са подведени да вярват, че са законни възможности за работа или сътрудничество по проекти.

Някои от имитираните марки включват Fortnite (игри), Party Icon (игри), RuneScape (игри), Rise Online World (игри), Zoom (продуктивност) и PeerMe (криптовалута).

Marko Polo използва и свои собствени измислени марки, които не са свързани със съществуващи проекти, като Vortax/Vorion и VDeck (софтуер за срещи), Wasper и PDFUnity (платформи за съвместна работа), SpectraRoom (криптокомуникации) и NightVerse (уеб3 игра).

В някои случаи жертвите се насочват към уебсайт за фалшиви приложения за виртуални срещи, съобщения и игри, които се използват за инсталиране на зловреден софтуер. При други кампании зловредният софтуер се разпространява чрез изпълними файлове (.exe или .dmg) в торент файлове.

Един от зловредните сайтове, рекламиращ фалшив продукт

Източник: Recorded Future

Удря Windows и macOS

Инструментариумът на Marko Polo за Windows и macOS е разнообразен, което показва способността на групата за заплахи да извършва многоплатформени и многовекторни атаки.

В Windows HijackLoader се използва за доставяне на Stealc – лек крадец на информация с общо предназначение за събиране на данни от браузъри и приложения за крипто портфейли, или Rhadamanthys – по-специализиран крадец, който е насочен към широк спектър от приложения и типове данни.

В неотдавнашна актуализация Rhadamanthys добави плъгин за изрязване, способен да отклонява плащания в криптовалута към портфейлите на нападателите, възможност за възстановяване на изтрити бисквитки от профила в Google и заобикаляне на Windows Defender.

Когато целта използва macOS, Marko Polo разгръща Atomic („AMOS“). Този крадец, пуснат на пазара в средата на 2023 г., се отдава под наем на киберпрестъпници за 1000 USD/месец, като им позволява да изтръгват различни данни, съхранявани в уеб браузърите.

AMOS може също така да пробива MetaMask и да краде пароли от Apple Keychain, за да се сдобие с WiFi пароли, запазени влизания, данни за кредитни карти и друга криптирана информация, съхранявана в macOS.

Инфекциозната верига на Marko Polo

Източник: Recorded Future

Злонамерените кампании, включващи зловреден софтуер за кражба на информация, бележат огромен ръст през годините, като  заплахите се насочват към жертвите чрез уязвимости от нулев ден, фалшиви VPN услуги, поправки на проблеми в GitHub и дори отговори в StackOverflow.

След това тези идентификационни данни се използват за пробив на корпоративни мрежи, провеждане на кампании за кражба на данни, каквито видяхме при масовите пробиви на акаунти в SnowFlake, и предизвикване на хаос чрез повреждане на информацията за маршрутизиране на мрежата.

За да намалите риска от изтегляне и стартиране на зловреден софтуер Infostealer в системата си, не следвайте линкове, споделени от непознати, и изтегляйте софтуер само от официалните уебсайтове на съответния доставчик.

Зловредният софтуер, използван от Marko Polo, се открива от най-актуалния антивирусен софтуер, така че сканирането на изтеглените файлове, преди да ги изпълните, би трябвало да прекъсне процеса на заразяване, преди той да започне.

Базова информация и инфографики: Recorded Future

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!