Търсене
Close this search box.

Установен е извършител на заплаха с псевдоним markopolo, който стои зад мащабна междуплатформена измама, насочена към потребителите на дигитални валути в социалните мрежи със зловреден софтуер за кражба на информация и извършване на кражба на криптовалута.

Веригите за атаки включват използването на предполагаем софтуер за виртуални срещи на име Vortax (и 23 други приложения), които се използват като канал за доставяне на Rhadamanthys, StealC и Atomic macOS Stealer (AMOS), се казва в анализ на Insikt Group на Recorded Future, публикуван тази седмица.

„Тази кампания, насочена предимно към потребителите на криптовалути, бележи значителен ръст на заплахите за сигурността на macOS и разкрива обширна мрежа от злонамерени приложения“, отбеляза компанията за киберсигурност, описвайки markopolo като „гъвкаво, адаптивно и многофункционално“.

Съществуват доказателства, свързващи кампанията на Vortax с предишна дейност, при която са използвани техники за фишинг с капани, насочени към потребители на macOS и Windows чрез примамки за игри в Web3.

Решаващ аспект на злонамерената операция е опитът за легитимиране на Vortax в социалните медии и интернет, като участниците поддържат специален блог в Medium, изпълнен със статии, генерирани от предполагаем изкуствен интелект, както и проверен акаунт в X (бивш Twitter), носещ златна отметка.

Изтеглянето на заровеното приложение изисква от жертвите да предоставят RoomID – уникален идентификатор на покана за среща, която се разпространява чрез отговори на акаунта на Vortax, директни съобщения и свързаните с криптовалутата канали Discord и Telegram.

След като потребителят въведе необходимия Room ID на уебсайта на Vortax, той бива пренасочен към връзка към Dropbox или външен уебсайт, който поетапно инсталира софтуера, което в крайна сметка води до разгръщане на зловредния софтуер за кражба.

„Извършителят, който управлява тази кампания, идентифициран като markopolo, използва споделен хостинг и C2 инфраструктура за всички изграждания“, заявиха от Recorded Future.

„Това подсказва, че той разчита на удобството, за да даде възможност за гъвкава кампания, като бързо се отказва от измамите, след като бъдат открити или дават намаляваща възвръщаемост, и се насочва към нови примамки.“

Според подробности, споделени от криптоизследователя ZachXBT в X (бивш Twitter) миналата седмица, се твърди, че неназовано лице е загубило 245 000 долара, след като е станало жертва на измамата Vortax.

„Малко след като изтегли [Vortax], криптоактивите на жертвата бяха прехвърлени от портфейлите ѝ“, каза ZachXBT. „След това средствата бяха прехвърлени чрез множество адреси на посредници и депозирани на борси“.

Констатациите показват, че широко разпространената заплаха от зловредния софтуер infostealer не може да бъде пренебрегвана, особено в светлината на неотдавнашната кампания, насочена към Snowflake.

Разработката идва, след като Enea разкри, че SMS измамниците злоупотребяват с услуги за съхранение в облака като Amazon S3, Google Cloud Storage, Backblaze B2 и IBM Cloud Object Storage, за да подлъжат потребителите да кликнат върху фалшиви връзки, които насочват към фишинг целеви страници, които изсмукват данните на клиентите.

„Киберпрестъпниците вече са намерили начин да използват улеснението, предоставяно от съхранението в облак, за хостване на статични уебсайтове (обикновено .HTML файлове), съдържащи вградени в изходния си код URL адреси за спам“, казва изследователят по сигурността Манодж Кумар.

„URL адресът, свързващ с хранилището в облака, се разпространява чрез текстови съобщения, които изглеждат автентични и следователно могат да заобиколят ограниченията на защитната стена. Когато потребителите на мобилни устройства щракнат върху тези връзки, които съдържат добре познати домейни на облачни платформи, те се насочват към статичния уебсайт, съхраняван в хранилището.“

На последния етап уебсайтът автоматично пренасочва потребителите към вградените спам URL адреси или динамично генерирани URL адреси с помощта на JavaScript и ги заблуждава да се разделят с лична и финансова информация.

„Тъй като основният домейн на URL адреса съдържа например истинския URL адрес/домейн на Google Cloud Storage, е предизвикателство той да бъде уловен чрез нормално сканиране на URL адреси“, казва Кумар. „Откриването и блокирането на URL адреси от този тип представлява постоянно предизвикателство поради свързването им с легитимни домейни, принадлежащи на уважавани или известни компании.“

 

Източник: The Hacker News

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
29/09/2024

Приложение за крипто измами...

Изследователи в областта на киберсигурността са...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!