Αποκαλύφθηκε μια τεράστια επιχείρηση κακόβουλου λογισμικού κλοπής πληροφοριών που περιλαμβάνει τριάντα καμπάνιες που στοχεύουν ένα ευρύ φάσμα δημογραφικών στοιχείων και πλατφορμών συστημάτων, που αποδίδεται σε μια ομάδα εγκληματιών στον κυβερνοχώρο με το όνομα “Marko Polo”.
Οι φορείς απειλών χρησιμοποιούν μια ποικιλία καναλιών διανομής, συμπεριλαμβανομένης της κακόβουλης διαφήμισης, του spearphishing και της πλαστοπροσωπίας σε διαδικτυακά παιχνίδια, κρυπτονομίσματα και λογισμικό, για να διαδώσουν 50 ωφέλιμα φορτία κακόβουλου λογισμικού, συμπεριλαμβανομένων των AMOS, Stealc και Rhadamanthys.
Σύμφωνα με την Insikt Group της Recorded Future, η οποία παρακολουθεί τη λειτουργία του Marko Polo, η καμπάνια κακόβουλου λογισμικού έχει επηρεάσει χιλιάδες ανθρώπους, με πιθανές οικονομικές απώλειες σε εκατομμύρια.
«Με βάση τον εκτεταμένο χαρακτήρα της καμπάνιας του Marko Polo, η Insikt Group υποπτεύεται ότι πιθανότατα δεκάδες χιλιάδες συσκευές έχουν παραβιαστεί παγκοσμίως — εκθέτοντας ευαίσθητα προσωπικά και εταιρικά δεδομένα». προειδοποιεί το Insikt Group της Recorded Future.
“Αυτό εγκυμονεί σημαντικούς κινδύνους τόσο για την ιδιωτική ζωή των καταναλωτών όσο και για την επιχειρηματική συνέχεια. Σχεδόν βέβαιο ότι δημιουργεί παράνομα έσοδα εκατομμυρίων δολαρίων, αυτή η επιχείρηση υπογραμμίζει επίσης τις αρνητικές οικονομικές επιπτώσεις τέτοιων εγκληματικών δραστηριοτήτων στον κυβερνοχώρο.”
Πηγή: Recorded Future
Τοποθέτηση παγίδων υψηλής αξίας
Ο όμιλος Insikt αναφέρει ότι το Marko Polo βασίζεται κυρίως στο spearphishing μέσω απευθείας μηνυμάτων σε πλατφόρμες μέσων κοινωνικής δικτύωσης για να φτάσει σε στόχους υψηλής αξίας, όπως επηρεαστές κρυπτονομισμάτων, παίκτες, προγραμματιστές λογισμικού και άλλα άτομα που είναι πιθανό να χειρίζονται πολύτιμα δεδομένα ή περιουσιακά στοιχεία.
Τα θύματα παρασύρονται να κατεβάσουν κακόβουλο λογισμικό αλληλεπιδρώντας με αυτό που παραπλανούνται ώστε να πιστεύουν ότι είναι νόμιμες ευκαιρίες εργασίας ή συνεργασίες έργων.
Ορισμένες από τις επωνυμίες που πλαστοπροσωπούνται είναι οι Fortnite (gaming), Party Icon (gaming), RuneScape (gaming), Rise Online World (gaming), Zoom (παραγωγικότητα) και PeerMe (κρυπτονομίσματα).
Το Marko Polo χρησιμοποιεί επίσης τις δικές του επωνυμίες που δεν σχετίζονται με υπάρχοντα έργα, όπως τα Vortax/Vorion και VDeck (λογισμικό συναντήσεων), Wasper και PDFUnity (πλατφόρμες συνεργασίας), SpectraRoom (κρυπτοεπικοινωνίες) και NightVerse (παιχνίδι web3).
Σε ορισμένες περιπτώσεις, τα θύματα οδηγούνται σε έναν ιστότοπο για ψεύτικες εικονικές συναντήσεις, μηνύματα και εφαρμογές παιχνιδιών, οι οποίες χρησιμοποιούνται για την εγκατάσταση κακόβουλου λογισμικού. Άλλες καμπάνιες διανέμουν το κακόβουλο λογισμικό μέσω εκτελέσιμων αρχείων (.exe ή .dmg) σε αρχεία torrent.
Πηγή: Recorded Future
Χτυπώντας και τα Windows και το macOS
Η εργαλειοθήκη του Marko Polo είναι ποικίλη, δείχνοντας την ικανότητα της ομάδας απειλών να πραγματοποιεί επιθέσεις πολλαπλών πλατφορμών και πολλαπλών φορέων.
Στα Windows, το HijackLoader χρησιμοποιείται για την παράδοση του Stealc, ενός ελαφρού συστήματος κλοπής πληροφοριών γενικής χρήσης που έχει σχεδιαστεί για τη συλλογή δεδομένων από προγράμματα περιήγησης και εφαρμογές πορτοφολιών κρυπτογράφησης ή το Rhadamanthys, ένα πιο εξειδικευμένο πρόγραμμα κλοπής που στοχεύει ένα ευρύ φάσμα εφαρμογών και τύπων δεδομένων.
Σε μια πρόσφατη ενημέρωση, η Rhadamanthys πρόσθεσε μια προσθήκη Clipper ικανή να εκτρέψει τις πληρωμές με κρυπτονομίσματα στα πορτοφόλια των εισβολέων, τη δυνατότητα ανάκτησης των διαγραμμένων cookie του Λογαριασμού Google και την αποφυγή του Windows Defender.
Όταν ο στόχος χρησιμοποιεί macOS, το Marko Polo αναπτύσσει το Atomic (“AMOS”). Αυτός ο κλέφτης κυκλοφόρησε στα μέσα του 2023, ενοικιάστηκε σε εγκληματίες του κυβερνοχώρου για 1.000 $/μήνα, επιτρέποντάς τους να αρπάξουν διάφορα δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού.
Το AMOS μπορεί επίσης να εξαναγκάσει τους σπόρους του MetaMask και να κλέψει τους κωδικούς πρόσβασης του Apple Keychain για να αποκτήσει κωδικούς πρόσβασης WiFi, αποθηκευμένες συνδέσεις, δεδομένα πιστωτικών καρτών και άλλες κρυπτογραφημένες πληροφορίες που είναι αποθηκευμένες στο macOS.
Πηγή: Recorded Future
Οι κακόβουλες καμπάνιες που περιλαμβάνουν κακόβουλο λογισμικό κλοπής πληροφοριών έχουν σημειώσει τεράστια ανάπτυξη όλα αυτά τα χρόνια, με τους παράγοντες απειλών να στοχεύουν θύματα μέσω τρωτών σημείων zero-day, πλαστών VPN, επιδιορθώσεων σε ζητήματα GitHub, ακόμη και απαντήσεων στο StackOverflow.
Στη συνέχεια, αυτά τα διαπιστευτήρια χρησιμοποιούνται για την παραβίαση εταιρικών δικτύων, τη διεξαγωγή καμπανιών κλοπής δεδομένων όπως είδαμε με τις μαζικές παραβιάσεις του λογαριασμού SnowFlake και για να προκαλέσουν χάος καταστρέφοντας τις πληροφορίες δρομολόγησης δικτύου.
Για να μειώσετε τον κίνδυνο λήψης και εκτέλεσης κακόβουλου λογισμικού infostealer στο σύστημά σας, μην ακολουθήσετε συνδέσμους που μοιράζονται αγνώστους και πραγματοποιήστε λήψη λογισμικού μόνο από τους επίσημους ιστότοπους του έργου.
Το κακόβουλο λογισμικό που χρησιμοποιείται από το Marko Polo εντοπίζεται από το πιο ενημερωμένο λογισμικό προστασίας από ιούς, επομένως η σάρωση των ληφθέντων αρχείων πριν από την εκτέλεσή τους θα πρέπει να διαταράξει τη διαδικασία μόλυνσης προτού ξεκινήσει.
VIA: bleepingcomputer.com
