Um ator de ameaças conhecido pelo pseudônimo "markopolo" foi identificado como o responsável por um amplo esquema de fraude que mira usuários de moeda digital nas redes sociais, utilizando malware de desvio de informações para realizar o roubo de criptomoedas.
As cadeias de ataque envolvem o uso de um suposto software de reuniões virtuais chamado Vortax (e outras 23 aplicações) que servem como meio para entregar malware do tipo Rhadamanthys, StealC e Atomic macOS Stealer (AMOS), de acordo com uma análise publicada esta semana pelo grupo Insikt da Recorded Future.
"Esta campanha, focada primeiramente em usuários de criptomoedas, marca o aumento significativo de ameaças à segurança em macOS e revela uma ampla rede de aplicativos maliciosos", observou a empresa de cibersegurança, descrevendo "markopolo" como "ágil, adaptável e versátil".
Há evidências ligando a campanha Vortax a atividades anteriores que utilizaram técnicas de phishing
como armadilha para mirar usuários de macOS e Windows via iscas de jogos Web3.
Um aspecto crucial da operação maliciosa é sua tentativa de legitimar o Vortax nas redes sociais e na internet, com os criminosos mantendo um blog no Medium repleto de artigos supostamente gerados por IA, bem como uma conta verificada no X (anteriormente Twitter) com um selo de verificação dourado.
Para baixar o aplicativo armadilha, as vítimas precisam fornecer um RoomID, um identificador único para um convite de reunião que é propagado por meio de respostas à conta do Vortax, mensagens diretas e canais relacionados a criptomoedas no Discord e Telegram.
Uma vez que um usuário insere o RoomID necessário no site do Vortax, ele é redirecionado para um link do Dropbox ou um site externo que prepara um instalador para o software, o que finalmente leva à instalação do malware de roubo de informações.
"O ator de ameaça que opera esta campanha, identificado como markopolo, utiliza hospedagem compartilhada e infraestrutura C2 para todas as construções", disse a Recorded Future.
Isso sugere que o ator de ameaça conta com a conveniência para possibilitar uma campanha ágil, abandonando rapidamente golpes assim que são detectados ou produzindo retornos decrescentes, e mudando para novas iscas.
Os achados mostram que a ameaça pervasiva de malware infostealer não pode ser ignorada, especialmente à luz da campanha recente mirando a Snowflake.
O desenvolvimento ocorre enquanto a Enea revelou o abuso de serviços de armazenamento em nuvem como Amazon S3, Google Cloud Storage, Backblaze B2 e IBM Cloud Object Storage por golpistas via SMS, que enganam os usuários para clicarem em links falsos que direcionam para páginas de phishing que roubam dados do cliente.
"Cibercriminosos agora encontraram uma forma de explorar a facilidade proporcionada pelo armazenamento em nuvem para hospedar sites estáticos (tipicamente arquivos .HTML) contendo URLs de spam embutidos em seu código fonte", disse o pesquisador de segurança Manoj Kumar.
O URL que leva ao armazenamento em nuvem é distribuído via mensagens de texto, que parecem ser autênticas e, portanto, podem contornar restrições de firewall.
Quando usuários de dispositivos móveis clicam nestes links, que contêm domínios de plataformas de nuvem conhecidas, eles são direcionados para o site estático armazenado no bucket de armazenamento.
Na fase final, o site redireciona automaticamente os usuários para os URLs de spam embutidos ou URLs gerados dinamicamente usando JavaScript, enganando-os a fornecer informações pessoais e financeiras.
"Uma vez que o domínio principal do URL contém, por exemplo, o URL/domínio real do Google Cloud Storage, é difícil capturá-lo por meio de varreduras de URL normais", disse Kumar.
Detectar e bloquear URLs dessa natureza apresenta um desafio contínuo devido à sua associação com domínios legítimos pertencentes a empresas de renome ou proeminentes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...