Ένας παράγοντας απειλών με την ονομασία Markopolo έχει αναγνωριστεί ως ο εγκέφαλος πίσω από μια μεγάλης κλίμακας απάτη.
Η απάτη αυτή στοχεύει χρήστες ψηφιακών νομισμάτων στα μέσα κοινωνικής δικτύωσης, χρησιμοποιώντας κακόβουλο λογισμικό κλοπής πληροφοριών και πραγματοποιώντας κλοπές κρυπτονομισμάτων.
Δείτε περισσότερα: Η νέα phishing υπηρεσία ONNX στοχεύει Microsoft 365 accounts
Οι επιθέσεις περιλαμβάνουν τη χρήση ενός υποτιθέμενου λογισμικού εικονικών συναντήσεων με την ονομασία Vortax (και άλλες 23 εφαρμογές) ως μέσον για την παράδοση των Rhadamanthys, StealC και Atomic macOS Stealer (AMOS), σύμφωνα με ανάλυση της Insikt Group της Recorded Future που δημοσιεύθηκε αυτή την εβδομάδα.
«Αυτή η εκστρατεία, η οποία στοχεύει κυρίως χρήστες κρυπτονομισμάτων, σηματοδοτεί μια σημαντική αύξηση των απειλών για την ασφάλεια του macOS και αποκαλύπτει ένα εκτεταμένο δίκτυο κακόβουλων εφαρμογών», σημείωσε η εταιρεία κυβερνοασφάλειας.
Υπάρχουν στοιχεία που συνδέουν την καμπάνια Vortax με προηγούμενες δραστηριότητες που χρησιμοποίησαν τεχνικές phishing για να στοχεύσουν χρήστες macOS και Windows μέσω δολωμάτων Web3 παιχνιδιών.
Μια κρίσιμη πτυχή της κακόβουλης επιχείρησης είναι η προσπάθεια νομιμοποίησης του Vortax στα μέσα κοινωνικής δικτύωσης και στο διαδίκτυο, με τους ηθοποιούς να διατηρούν ένα ιστολόγιο στο Medium γεμάτο με ύποπτα άρθρα που παράγονται από τεχνητή νοημοσύνη, καθώς και έναν επαληθευμένο λογαριασμό στο X (πρώην Twitter) με ένα χρυσό σημάδι.
Η εγκατάσταση της booby-trapped εφαρμογής, απαιτεί από τα θύματα να παρέχουν ένα RoomID, ένα μοναδικό αναγνωριστικό που περιλαμβάνεται σε προσκλήσεις σε σύσκεψη, οι οποίες διαδίδονται μέσω απαντήσεων στον λογαριασμό Vortax, απευθείας μηνυμάτων και καναλιών Discord και Telegram που σχετίζονται με κρυπτονομίσματα. Μόλις ο χρήστης εισαγάγει το απαραίτητο RoomID στον ιστότοπο του Vortax, ανακατευθύνεται σε έναν σύνδεσμο Dropbox ή σε έναν εξωτερικό ιστότοπο, όπου ένα πρόγραμμα εγκατάστασης προετοιμάζει το λογισμικό, οδηγώντας τελικά στην ανάπτυξη κακόβουλου λογισμικού κλοπής.
Διαβάστε ακόμη: Ευπάθειες στο VMware: Απειλές και τρόποι προστασίας
«Ο παράγοντας απειλής που χειρίζεται αυτή την καμπάνια, γνωστός ως markopolo, αξιοποιεί κοινόχρηστη φιλοξενία και C2 υποδομή για όλες τις εκδόσεις», ανέφερε η Recorded Future.
Τα ευρήματα υπογραμμίζουν ότι η διάχυτη απειλή του κακόβουλου λογισμικού κλοπής πληροφοριών δεν μπορεί να αγνοηθεί, ειδικά υπό το φως της πρόσφατης καμπάνιας που στοχεύει το Snowflake. Εν τω μεταξύ, η Enea αποκάλυψε την κατάχρηση υπηρεσιών αποθήκευσης cloud από απατεώνες, συμπεριλαμβανομένων των Amazon S3, Google Cloud Storage, Backblaze B2 και IBM Cloud Object Storage, για να εξαπατήσουν χρήστες να κάνουν κλικ σε ψεύτικους συνδέσμους που οδηγούν σε phishing σελίδες προορισμού που συλλέγουν δεδομένα πελατών.
«Οι κυβερνοεγκληματίες έχουν βρει έναν τρόπο να εκμεταλλευτούν τη δυνατότητα του cloud storage να φιλοξενούν στατικούς ιστότοπους, συνήθως αρχεία .HTML, που περιέχουν ενσωματωμένα URL ανεπιθύμητης αλληλογραφίας στον πηγαίο κώδικα τους», δήλωσε ο ερευνητής ασφαλείας Manoj Kumar. «Οι διευθύνσεις URL που συνδέονται με το cloud storage διανέμονται μέσω μηνυμάτων, τα οποία φαίνονται αληθινά και επομένως μπορούν να παρακάμψουν τους περιορισμούς των τειχών προστασίας (firewall). Όταν οι χρήστες κινητών κάνουν κλικ σε αυτούς τους συνδέσμους, οι οποίοι περιέχουν γνωστούς τομείς πλατφόρμας cloud, κατευθύνονται στον στατικό ιστότοπο που είναι αποθηκευμένος στον κάδο αποθήκευσης».
Στο τελικό στάδιο, ο ιστότοπος ανακατευθύνει αυτόματα τους χρήστες σε ενσωματωμένες κακόβουλες διευθύνσεις URL ή σε διευθύνσεις URL που δημιουργούνται μέσω JavaScript, εξαπατώντας τους να αποκαλύψουν προσωπικές και οικονομικές πληροφορίες.
Δείτε επίσης: Το malware Warmcookie προωθείται μέσω ψεύτικων προσφορών εργασίας
«Επειδή ο κύριος τομέας της διεύθυνσης URL περιλαμβάνει, για παράδειγμα, την αυθεντική διεύθυνση URL/τομέα του Google Cloud Storage, είναι δύσκολο να εντοπιστεί μέσω της τυπικής σάρωσης URL», ανέφερε ο Kumar. «Ο εντοπισμός και ο αποκλεισμός διευθύνσεων URL αυτού του τύπου αποτελεί συνεχή πρόκληση λόγω της σύνδεσής τους με νόμιμους τομείς που ανήκουν σε αξιόπιστες εταιρείες».
Πηγή: thehackernews
