Разкрита е мащабна операция за извличане на информация чрез зловреден софтуер, включваща тридесет кампании, насочени към широк спектър от демографски групи и системни платформи, която се приписва на киберпрестъпна група, наречена „Marko Polo“.

“ Извършителите използват разнообразни канали за разпространение, включително злонамерена реклама, spearphishing и имитация на марки в онлайн игри, криптовалути и софтуер, за да разпространят 50 зловредни товара, включително AMOS, Stealc и Rhadamanthys.

Според Insikt Group на Recorded Future, която проследява операцията на Marko Polo, злонамерената кампания е засегнала хиляди хора, като потенциалните финансови загуби са милиони.

„Въз основа на широко разпространения характер на кампанията на Marko Polo, Insikt Group подозира, че вероятно десетки хиляди устройства са били компрометирани в световен мащаб – излагайки на риск чувствителни лични и корпоративни данни“, предупреждава Insikt Group от Recorded Future.

„Това създава значителни рискове както за неприкосновеността на личния живот на потребителите, така и за непрекъснатостта на бизнеса. Почти сигурно генерирайки милиони долари незаконни приходи, тази операция също така подчертава отрицателните икономически последици от подобни киберпрестъпни дейности.“

Поставянето на капани с висока стойност

Insikt Group съобщава, че Marko Polo разчита предимно на spearphishing чрез директни съобщения в платформите на социалните медии, за да достигне до цели с висока стойност, като влиятелни лица в областта на криптовалутите, геймъри, разработчици на софтуер и други хора, които могат да боравят с ценни данни или активи.

Жертвите са подмамени да изтеглят зловреден софтуер, като взаимодействат с това, което са подведени да вярват, че са законни възможности за работа или сътрудничество по проекти.

Някои от имитираните марки включват Fortnite (игри), Party Icon (игри), RuneScape (игри), Rise Online World (игри), Zoom (продуктивност) и PeerMe (криптовалута).

Marko Polo използва и свои собствени измислени марки, които не са свързани със съществуващи проекти, като Vortax/Vorion и VDeck (софтуер за срещи), Wasper и PDFUnity (платформи за съвместна работа), SpectraRoom (криптокомуникации) и NightVerse (уеб3 игра).

В някои случаи жертвите се насочват към уебсайт за фалшиви приложения за виртуални срещи, съобщения и игри, които се използват за инсталиране на зловреден софтуер. При други кампании зловредният софтуер се разпространява чрез изпълними файлове (.exe или .dmg) в торент файлове.

Един от зловредните сайтове, рекламиращ фалшив продукт

Източник: Recorded Future

Удря Windows и macOS

Инструментариумът на Marko Polo за Windows и macOS е разнообразен, което показва способността на групата за заплахи да извършва многоплатформени и многовекторни атаки.

В Windows HijackLoader се използва за доставяне на Stealc – лек крадец на информация с общо предназначение за събиране на данни от браузъри и приложения за крипто портфейли, или Rhadamanthys – по-специализиран крадец, който е насочен към широк спектър от приложения и типове данни.

В неотдавнашна актуализация Rhadamanthys добави плъгин за изрязване, способен да отклонява плащания в криптовалута към портфейлите на нападателите, възможност за възстановяване на изтрити бисквитки от профила в Google и заобикаляне на Windows Defender.

Когато целта използва macOS, Marko Polo разгръща Atomic („AMOS“). Този крадец, пуснат на пазара в средата на 2023 г., се отдава под наем на киберпрестъпници за 1000 USD/месец, като им позволява да изтръгват различни данни, съхранявани в уеб браузърите.

AMOS може също така да пробива MetaMask и да краде пароли от Apple Keychain, за да се сдобие с WiFi пароли, запазени влизания, данни за кредитни карти и друга криптирана информация, съхранявана в macOS.

Инфекциозната верига на Marko Polo

Източник: Recorded Future

Злонамерените кампании, включващи зловреден софтуер за кражба на информация, бележат огромен ръст през годините, като  заплахите се насочват към жертвите чрез уязвимости от нулев ден, фалшиви VPN услуги, поправки на проблеми в GitHub и дори отговори в StackOverflow.

След това тези идентификационни данни се използват за пробив на корпоративни мрежи, провеждане на кампании за кражба на данни, каквито видяхме при масовите пробиви на акаунти в SnowFlake, и предизвикване на хаос чрез повреждане на информацията за маршрутизиране на мрежата.

За да намалите риска от изтегляне и стартиране на зловреден софтуер Infostealer в системата си, не следвайте линкове, споделени от непознати, и изтегляйте софтуер само от официалните уебсайтове на съответния доставчик.

Зловредният софтуер, използван от Marko Polo, се открива от най-актуалния антивирусен софтуер, така че сканирането на изтеглените файлове, преди да ги изпълните, би трябвало да прекъсне процеса на заразяване, преди той да започне.

Базова информация и инфографики: Recorded Future

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
28/01/2025

Измамници се възползват от ...

Докато светът на изкуствения интелект, заедно...
27/01/2025

Уязвимости на Git доведоха ...

Неправилното обработване на съобщения в протокола...
27/01/2025

Драмата с криптоотвличането...

Драматичното развитие на събитията във Франция...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!