Установен е извършител на заплаха с псевдоним markopolo, който стои зад мащабна междуплатформена измама, насочена към потребителите на дигитални валути в социалните мрежи със зловреден софтуер за кражба на информация и извършване на кражба на криптовалута.
Веригите за атаки включват използването на предполагаем софтуер за виртуални срещи на име Vortax (и 23 други приложения), които се използват като канал за доставяне на Rhadamanthys, StealC и Atomic macOS Stealer (AMOS), се казва в анализ на Insikt Group на Recorded Future, публикуван тази седмица.
„Тази кампания, насочена предимно към потребителите на криптовалути, бележи значителен ръст на заплахите за сигурността на macOS и разкрива обширна мрежа от злонамерени приложения“, отбеляза компанията за киберсигурност, описвайки markopolo като „гъвкаво, адаптивно и многофункционално“.
Съществуват доказателства, свързващи кампанията на Vortax с предишна дейност, при която са използвани техники за фишинг с капани, насочени към потребители на macOS и Windows чрез примамки за игри в Web3.
Решаващ аспект на злонамерената операция е опитът за легитимиране на Vortax в социалните медии и интернет, като участниците поддържат специален блог в Medium, изпълнен със статии, генерирани от предполагаем изкуствен интелект, както и проверен акаунт в X (бивш Twitter), носещ златна отметка.
Изтеглянето на заровеното приложение изисква от жертвите да предоставят RoomID – уникален идентификатор на покана за среща, която се разпространява чрез отговори на акаунта на Vortax, директни съобщения и свързаните с криптовалутата канали Discord и Telegram.
След като потребителят въведе необходимия Room ID на уебсайта на Vortax, той бива пренасочен към връзка към Dropbox или външен уебсайт, който поетапно инсталира софтуера, което в крайна сметка води до разгръщане на зловредния софтуер за кражба.
„Извършителят, който управлява тази кампания, идентифициран като markopolo, използва споделен хостинг и C2 инфраструктура за всички изграждания“, заявиха от Recorded Future.
„Това подсказва, че той разчита на удобството, за да даде възможност за гъвкава кампания, като бързо се отказва от измамите, след като бъдат открити или дават намаляваща възвръщаемост, и се насочва към нови примамки.“
Според подробности, споделени от криптоизследователя ZachXBT в X (бивш Twitter) миналата седмица, се твърди, че неназовано лице е загубило 245 000 долара, след като е станало жертва на измамата Vortax.
„Малко след като изтегли [Vortax], криптоактивите на жертвата бяха прехвърлени от портфейлите ѝ“, каза ZachXBT. „След това средствата бяха прехвърлени чрез множество адреси на посредници и депозирани на борси“.
Констатациите показват, че широко разпространената заплаха от зловредния софтуер infostealer не може да бъде пренебрегвана, особено в светлината на неотдавнашната кампания, насочена към Snowflake.
Разработката идва, след като Enea разкри, че SMS измамниците злоупотребяват с услуги за съхранение в облака като Amazon S3, Google Cloud Storage, Backblaze B2 и IBM Cloud Object Storage, за да подлъжат потребителите да кликнат върху фалшиви връзки, които насочват към фишинг целеви страници, които изсмукват данните на клиентите.
„Киберпрестъпниците вече са намерили начин да използват улеснението, предоставяно от съхранението в облак, за хостване на статични уебсайтове (обикновено .HTML файлове), съдържащи вградени в изходния си код URL адреси за спам“, казва изследователят по сигурността Манодж Кумар.
„URL адресът, свързващ с хранилището в облака, се разпространява чрез текстови съобщения, които изглеждат автентични и следователно могат да заобиколят ограниченията на защитната стена. Когато потребителите на мобилни устройства щракнат върху тези връзки, които съдържат добре познати домейни на облачни платформи, те се насочват към статичния уебсайт, съхраняван в хранилището.“
На последния етап уебсайтът автоматично пренасочва потребителите към вградените спам URL адреси или динамично генерирани URL адреси с помощта на JavaScript и ги заблуждава да се разделят с лична и финансова информация.
„Тъй като основният домейн на URL адреса съдържа например истинския URL адрес/домейн на Google Cloud Storage, е предизвикателство той да бъде уловен чрез нормално сканиране на URL адреси“, казва Кумар. „Откриването и блокирането на URL адреси от този тип представлява постоянно предизвикателство поради свързването им с легитимни домейни, принадлежащи на уважавани или известни компании.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.