Разкрита е мащабна операция за извличане на информация чрез зловреден софтуер, включваща тридесет кампании, насочени към широк спектър от демографски групи и системни платформи, която се приписва на киберпрестъпна група, наречена „Marko Polo“.
“ Извършителите използват разнообразни канали за разпространение, включително злонамерена реклама, spearphishing и имитация на марки в онлайн игри, криптовалути и софтуер, за да разпространят 50 зловредни товара, включително AMOS, Stealc и Rhadamanthys.
Според Insikt Group на Recorded Future, която проследява операцията на Marko Polo, злонамерената кампания е засегнала хиляди хора, като потенциалните финансови загуби са милиони.
„Въз основа на широко разпространения характер на кампанията на Marko Polo, Insikt Group подозира, че вероятно десетки хиляди устройства са били компрометирани в световен мащаб – излагайки на риск чувствителни лични и корпоративни данни“, предупреждава Insikt Group от Recorded Future.
„Това създава значителни рискове както за неприкосновеността на личния живот на потребителите, така и за непрекъснатостта на бизнеса. Почти сигурно генерирайки милиони долари незаконни приходи, тази операция също така подчертава отрицателните икономически последици от подобни киберпрестъпни дейности.“
Insikt Group съобщава, че Marko Polo разчита предимно на spearphishing чрез директни съобщения в платформите на социалните медии, за да достигне до цели с висока стойност, като влиятелни лица в областта на криптовалутите, геймъри, разработчици на софтуер и други хора, които могат да боравят с ценни данни или активи.
Жертвите са подмамени да изтеглят зловреден софтуер, като взаимодействат с това, което са подведени да вярват, че са законни възможности за работа или сътрудничество по проекти.
Някои от имитираните марки включват Fortnite (игри), Party Icon (игри), RuneScape (игри), Rise Online World (игри), Zoom (продуктивност) и PeerMe (криптовалута).
Marko Polo използва и свои собствени измислени марки, които не са свързани със съществуващи проекти, като Vortax/Vorion и VDeck (софтуер за срещи), Wasper и PDFUnity (платформи за съвместна работа), SpectraRoom (криптокомуникации) и NightVerse (уеб3 игра).
В някои случаи жертвите се насочват към уебсайт за фалшиви приложения за виртуални срещи, съобщения и игри, които се използват за инсталиране на зловреден софтуер. При други кампании зловредният софтуер се разпространява чрез изпълними файлове (.exe или .dmg) в торент файлове.
Един от зловредните сайтове, рекламиращ фалшив продукт
Източник: Recorded Future
Инструментариумът на Marko Polo за Windows и macOS е разнообразен, което показва способността на групата за заплахи да извършва многоплатформени и многовекторни атаки.
В Windows HijackLoader се използва за доставяне на Stealc – лек крадец на информация с общо предназначение за събиране на данни от браузъри и приложения за крипто портфейли, или Rhadamanthys – по-специализиран крадец, който е насочен към широк спектър от приложения и типове данни.
В неотдавнашна актуализация Rhadamanthys добави плъгин за изрязване, способен да отклонява плащания в криптовалута към портфейлите на нападателите, възможност за възстановяване на изтрити бисквитки от профила в Google и заобикаляне на Windows Defender.
Когато целта използва macOS, Marko Polo разгръща Atomic („AMOS“). Този крадец, пуснат на пазара в средата на 2023 г., се отдава под наем на киберпрестъпници за 1000 USD/месец, като им позволява да изтръгват различни данни, съхранявани в уеб браузърите.
AMOS може също така да пробива MetaMask и да краде пароли от Apple Keychain, за да се сдобие с WiFi пароли, запазени влизания, данни за кредитни карти и друга криптирана информация, съхранявана в macOS.
Инфекциозната верига на Marko Polo
Източник: Recorded Future
Злонамерените кампании, включващи зловреден софтуер за кражба на информация, бележат огромен ръст през годините, като заплахите се насочват към жертвите чрез уязвимости от нулев ден, фалшиви VPN услуги, поправки на проблеми в GitHub и дори отговори в StackOverflow.
След това тези идентификационни данни се използват за пробив на корпоративни мрежи, провеждане на кампании за кражба на данни, каквито видяхме при масовите пробиви на акаунти в SnowFlake, и предизвикване на хаос чрез повреждане на информацията за маршрутизиране на мрежата.
За да намалите риска от изтегляне и стартиране на зловреден софтуер Infostealer в системата си, не следвайте линкове, споделени от непознати, и изтегляйте софтуер само от официалните уебсайтове на съответния доставчик.
Зловредният софтуер, използван от Marko Polo, се открива от най-актуалния антивирусен софтуер, така че сканирането на изтеглените файлове, преди да ги изпълните, би трябвало да прекъсне процеса на заразяване, преди той да започне.
Базова информация и инфографики: Recorded Future
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.