Uma operação massiva de malware infostealer que engloba trinta campanhas mirando em um amplo espectro de demografias e plataformas de sistema foi descoberta, atribuída a um grupo cibercriminoso denominado "Marko Polo".
Os agentes da ameaça utilizam uma variedade de canais de distribuição, incluindo malvertising, spearphishing e a personificação de marcas no universo dos jogos online, criptomoedas e software, para espalhar 50 payloads de malware, incluindo AMOS, Stealc e Rhadamanthys.
De acordo com o Insikt Group da Recorded Future, que vem acompanhando a operação Marko Polo, a campanha de malware afetou milhares, com potenciais prejuízos financeiros na casa dos milhões.
"Baseado na natureza abrangente da campanha Marko Polo, o Insikt Group suspeita que provavelmente dezenas de milhares de dispositivos tenham sido comprometidos globalmente — expondo dados pessoais e corporativos sensíveis," alerta o Insikt Group da Recorded Future.
Isso representa riscos significativos tanto para a privacidade do consumidor quanto para a continuidade dos negócios.
Quase certamente gerando milhões de dólares em receita ilícita, esta operação também destaca os efeitos econômicos negativos de tais atividades cibercriminosas.
O Insikt Group relata que Marko Polo se baseia principalmente em spearphishing via mensagens diretas em plataformas de mídia social para alcançar alvos de alto valor, como influenciadores de criptomoedas, gamers, desenvolvedores de software e outras pessoas susceptíveis a manusearem dados ou ativos valiosos.
As vítimas são seduzidas a baixar softwares maliciosos por interagir com o que são enganadas a acreditar ser oportunidades de trabalho legítimas ou colaborações em projetos.
Algumas das marcas que são personificadas incluem Fortnite (jogos), Party Icon (jogos), RuneScape (jogos), Rise Online World (jogos), Zoom (produtividade) e PeerMe (criptomoeda).
Marko Polo também utiliza suas próprias marcas inventadas, não relacionadas a projetos existentes, como Vortax/Vorion e VDeck (software de reunião), Wasper e PDFUnity (plataformas de colaboração), SpectraRoom (comunicações de cripto) e NightVerse (jogo web3).
Em alguns casos, as vítimas são levadas a um site para aplicativos falsos de reuniões virtuais, mensagens e jogos, que são usados para instalar malware.
Outras campanhas distribuem o malware por meio de executáveis (.exe ou .dmg) em arquivos torrent.
O toolkit do Marko Polo é diverso, mostrando a capacidade do grupo de ameaça de realizar ataques multi-plataforma e multi-vetor.
No Windows, HijackLoader é usado para entregar Stealc, um infostealer leve de propósito geral projetado para coletar dados de navegadores e apps de carteira de criptomoedas, ou Rhadamanthys, um stealer mais especializado que mira em uma ampla gama de aplicações e tipos de dados.
Em uma atualização recente, Rhadamanthys adicionou um plugin clipper capaz de desviar pagamentos de criptomoedas para as carteiras dos atacantes, a habilidade de recuperar cookies do Google Account deletados e evasão do Windows Defender.
Quando o alvo usa macOS, Marko Polo implementa o Atomic ('AMOS').
Esse stealer lançado em meados de 2023, alugado para cibercriminosos por $1.000/mês, permite que eles capturem vários dados armazenados em navegadores web.
AMOS também pode forçar a entrada em seeds do MetaMask e roubar senhas do Apple Keychain para obter senhas de WiFi, logins salvos, dados de cartão de crédito e outras informações criptografadas armazenadas no macOS.
Campanhas maliciosas envolvendo malware de roubo de informações tiveram um crescimento massivo ao longo dos anos, com agentes de ameaça visando vítimas por meio de vulnerabilidades zero-day, VPNs falsas, correções para problemas no GitHub e até respostas no StackOverflow.
Essas credenciais são então usadas para invadir redes corporativas, conduzir campanhas de roubo de dados como vimos com os maciços breaches de contas SnowFlake, e causar caos corrompendo informações de roteamento de rede.
Para mitigar o risco de baixar e executar malware infostealer em seu sistema, não siga links compartilhados por estranhos e baixe software apenas dos sites oficiais do projeto.
O malware usado por Marko Polo é detectado pela maioria dos softwares antivírus atualizados, portanto, escanear arquivos baixados antes de executá-los deve interromper o processo de infecção antes que ele comece.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...