Se descubrió una operación de malware de robo de información a gran escala que incluía 30 campañas dirigidas a una amplia gama de datos demográficos y plataformas de sistemas. La operación fue atribuida a un grupo de ciberdelincuentes llamado “Marko Polo”.
Los actores de amenazas están difundiendo 50 cargas útiles de malware diferentes, incluidos AMOS, Stealc y Rhadamanthys, utilizando una variedad de canales de distribución, que incluyen publicidad maliciosa, phishing, juegos en línea, criptomonedas y suplantación de marcas en software.
Según Insikt Group de Recorded Future, que rastrea las actividades de Marko Polo, el ataque de malware podría afectar a miles de personas y provocar pérdidas financieras de millones de dólares.
“Basándose en la naturaleza generalizada de la campaña de Marko Polo, Insikt Group estima que quizás decenas de miles de dispositivos en todo el mundo se vieron comprometidos, exponiendo datos personales y corporativos confidenciales”, advierte Insikt Group de Recorded Future.
“Esto plantea riesgos importantes tanto para la privacidad del consumidor como para la continuidad del negocio. Es casi seguro que esta práctica generará millones de dólares en ganancias ilícitas, y el aspecto económico también resalta los efectos negativos”.
Clústeres y campañas individuales relacionadas con Marco Polo
Fuente: Futuro grabado
establecer una trampa de alto valor
Según un informe de Insikt Group, Marko Polo utiliza principalmente el phishing mediante mensajes directos en plataformas de redes sociales para dirigirse a personas influyentes en criptomonedas, jugadores, desarrolladores de software y otras personas que potencialmente tratan con datos y activos valiosos, como ciertos. gente.
Se engaña a las víctimas para que interactúen con lo que parece ser una oportunidad laboral legítima o una colaboración en un proyecto y se las induce a descargar software malicioso.
Las marcas suplantadas incluyen Fortnite (juegos), Party Icon (juegos), RuneScape (juegos), Rise Online World (juegos), Zoom (productividad) y PeerMe (criptomonedas).
Marko Polo también utiliza sus propias marcas ficticias no relacionadas con proyectos existentes, como Vortax/Vorion y VDeck (software de conferencias), Wasper y PDFUnity (plataformas de colaboración), SpectraRoom (cifrado) y NightVerse (juegos Web3). .
En algunos casos, las víctimas son dirigidas a sitios web que ofrecen reuniones virtuales, mensajería y aplicaciones de juegos falsas que instalan malware. Otras campañas distribuyen malware a través de archivos ejecutables (.exe o .dmg) dentro de archivos torrent.
Uno de los sitios maliciosos que promocionan productos falsificados.
Fuente: Futuro grabado
Compatible tanto con Windows como con macOS
El conjunto de herramientas de Marko Polo es diverso y demuestra la capacidad del grupo de amenazas para llevar a cabo ataques multiplataforma y multivector.
En Windows, HijackLoader distribuye Stealc, un programa de robo de información liviano de uso general diseñado para recopilar datos de navegadores y aplicaciones de billetera de criptomonedas, así como Rhadamanthys, un programa de robo más especializado que se dirige a una amplia gama de aplicaciones y tipos de datos utilizados.
En actualizaciones recientes, Rhadamanthys agregó un complemento Clipper que puede transferir pagos en criptomonedas a la billetera de un atacante, la capacidad de recuperar cookies eliminadas de la cuenta de Google y la capacidad de eludir Windows Defender.
Si el objetivo usa macOS, Marko Polo implementa Atomic (“AMOS”). El ladrón se lanzará a mediados de 2023 y se podrá alquilar a ciberdelincuentes por 1.000 dólares al mes para robar diversos datos almacenados en los navegadores web.
AMOS puede forzar semillas de MetaMask y robar contraseñas de Apple Keychain para obtener contraseñas de WiFi, inicios de sesión guardados, datos de tarjetas de crédito y otra información cifrada almacenada en macOS.
La cadena de infección de Marco Polo
Fuente: Futuro grabado
Las campañas maliciosas que involucran malware para robar información han aumentado significativamente en los últimos años, con actores de amenazas apuntando a las víctimas a través de vulnerabilidades de día cero, VPN falsas, soluciones a problemas de GitHub e incluso respuestas de StackOverflow.
Estas credenciales se pueden utilizar para infiltrarse en redes corporativas, realizar campañas de robo de datos como la que se vio en la violación masiva de la cuenta SnowFlake y causar caos al corromper la información de enrutamiento de la red.
Para reducir el riesgo de descargar y ejecutar malware Infostealer en su sistema, evite hacer clic en enlaces compartidos por extraños y descargue software únicamente de los sitios web oficiales del proyecto.
El software antivirus moderno detecta el malware utilizado por Marko Polo, por lo que escanear los archivos descargados antes de ejecutarlos puede detener el proceso de infección antes de que comience.
https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/
