Se ha descubierto una operación masiva de robo de información maliciosa que comprende treinta campañas dirigidas a una amplia gama de datos demográficos y plataformas de sistemas, atribuida a un grupo de ciberdelincuentes llamado “Marko Polo”.
Los actores de amenazas utilizan una variedad de canales de distribución, incluida la publicidad maliciosa, el phishing y la suplantación de marcas en juegos en línea, criptomonedas y software, para entregar 50 cargas útiles de malware, incluidos AMOS, Stealc y Rhadamanthys.
Según Insikt Group de Recorded Future, que siguió la Operación Marko Polo, la campaña de malware afectó a miles de personas, con pérdidas financieras potenciales de millones.
“Dada la naturaleza generalizada de la campaña de Marko Polo, Insikt Group sospecha que decenas de miles de dispositivos probablemente se vieron comprometidos en todo el mundo, exponiendo datos personales y corporativos confidenciales. » advierte Insikt de Recorded Future.
“Esto presenta riesgos significativos para la privacidad del consumidor y la continuidad del negocio. Es casi seguro que esta operación generará millones de dólares en ingresos ilícitos y también pone de relieve los efectos económicos negativos de dichas actividades cibercriminales. »
Fuente: Futuro grabado
Poner trampas de alto valor añadido
Insikt Group informa que Marko Polo se basa principalmente en el phishing mediante mensajes directos en plataformas de redes sociales para llegar a objetivos de alto valor, como personas influyentes en criptomonedas, jugadores, desarrolladores de software y otras personas que pueden manejar datos o activos valiosos.
Se engaña a las víctimas para que descarguen malware interactuando con lo que creen que son oportunidades laborales legítimas o colaboraciones en proyectos.
Algunas de las marcas imitadas incluyen Fortnite (juegos), Party Icon (juegos), RuneScape (juegos), Rise Online World (juegos), Zoom (productividad) y PeerMe (criptomonedas).
Marko Polo también utiliza sus propias marcas inventadas y no relacionadas con proyectos existentes, como Vortax/Vorion y VDeck (software para reuniones), Wasper y PDFUnity (plataformas de colaboración), SpectraRoom (comunicaciones criptográficas) y NightVerse (juego web3).
En algunos casos, las víctimas son redirigidas a un sitio web que ofrece aplicaciones falsas de reuniones virtuales, mensajería y juegos, que se utilizan para instalar malware. Otras campañas distribuyen malware a través de archivos ejecutables (.exe o .dmg) en archivos torrent.
Fuente: Futuro grabado
Toca tanto Windows como macOS
El conjunto de herramientas de Marko Polo es diverso y demuestra la capacidad del grupo de amenazas para llevar a cabo ataques multiplataforma y multivectorial.
En Windows, HijackLoader se utiliza para entregar Stealc, un ladrón de información liviano y de propósito general diseñado para recopilar datos de navegadores y aplicaciones de billetera criptográfica, o Rhadamanthys, un ladrón más especializado que apunta a una amplia gama de aplicaciones y tipos de datos.
En una actualización reciente, Rhadamanthys agregó un complemento Clipper capaz de desviar pagos en criptomonedas a las billeteras de los atacantes, la capacidad de recuperar cookies eliminadas de la cuenta de Google y evasión de Windows Defender.
Cuando el objetivo usa macOS, Marko Polo implementa Atomic (‘AMOS’). Este ladrón lanzado a mediados de 2023, alquilado a ciberdelincuentes por 1.000 dólares al mes, les permite robar diversos datos almacenados en los navegadores web.
AMOS también puede forzar semillas de MetaMask y robar contraseñas de Apple Keychain para obtener contraseñas de WiFi, identificaciones guardadas, datos de tarjetas de crédito y otra información cifrada almacenada en macOS.
Fuente: Futuro grabado
Las campañas maliciosas que involucran malware para robar información han experimentado un crecimiento masivo a lo largo de los años, con actores de amenazas apuntando a las víctimas a través de vulnerabilidades de día cero, VPN falsas, soluciones a problemas de GitHub e incluso respuestas en StackOverflow.
Estas credenciales se utilizan luego para piratear redes corporativas, llevar a cabo campañas de robo de datos como vimos con las violaciones masivas de cuentas de SnowFlake y causar caos al corromper la información de enrutamiento de la red.
Para mitigar el riesgo de descargar y ejecutar malware de robo de información en su sistema, no siga enlaces compartidos por extraños y descargue software únicamente de los sitios web oficiales del proyecto.
El malware utilizado por Marko Polo es detectado por la mayoría de los programas antivirus más nuevos. Por lo tanto, escanear los archivos descargados antes de ejecutarlos debería interrumpir el proceso de infección antes de que comience.