Een bedreigingsacteur die een alias draagt markopolo Er is vastgesteld dat het achter een grootschalige, platformonafhankelijke zwendel zit die gebruikers van digitale valuta op sociale media target met informatiestelende malware en cryptocurrency-diefstal uitvoert.
De aanvalsketens omvatten het gebruik van een zogenaamde virtuele vergadersoftware genaamd Vortax (en 23 andere apps) die worden gebruikt als kanaal om Rhadamanthys, StealC en Atomic macOS Stealer (AMOS) te leveren, zei Insikt Group van Recorded Future in een analyse die dit jaar werd gepubliceerd. week.
“Deze campagne, die zich vooral richt op gebruikers van cryptovaluta, markeert een aanzienlijke stijging van het aantal macOS-beveiligingsbedreigingen en onthult een uitgebreid netwerk van kwaadaardige applicaties”, merkte het cyberbeveiligingsbedrijf op, terwijl hij markopolo omschreef als “wendbaar, aanpasbaar en veelzijdig.”
Er zijn aanwijzingen dat de Vortax-campagne verband houdt met eerdere activiteiten waarbij gebruik werd gemaakt van trapphishing-technieken om macOS- en Windows-gebruikers te targeten via Web3-gaminglokmiddelen.
Een cruciaal aspect van de kwaadaardige operatie is de poging om Vortax op sociale media en internet te legitimeren, waarbij de actoren een speciale Medium-blog onderhouden vol met vermoedelijk door AI gegenereerde artikelen, evenals een geverifieerd account op X (voorheen Twitter) met een gouden vinkje.
Voor het downloaden van de boobytrap-applicatie moeten de slachtoffers een RoomID opgeven, een unieke identificatie voor een uitnodiging voor een vergadering die wordt doorgegeven via antwoorden op het Vortax-account, directe berichten en cryptocurrency-gerelateerde Discord- en Telegram-kanalen.
Zodra een gebruiker de benodigde Room ID op de Vortax-website invoert, wordt hij of zij doorgestuurd naar een Dropbox-link of een externe website die een installatieprogramma voor de software organiseert, wat uiteindelijk leidt tot de inzet van de stealer-malware.
“De bedreigingsacteur die deze campagne beheert, geïdentificeerd als markopolo, maakt gebruik van gedeelde hosting en C2-infrastructuur voor alle builds”, aldus Recorded Future.
“Dit suggereert dat de dreigingsactor afhankelijk is van gemak om een flexibele campagne mogelijk te maken, waarbij hij oplichting snel achterwege laat zodra deze wordt ontdekt of afnemende opbrengsten oplevert, en zich richt op nieuwe lokmiddelen.”
De bevindingen tonen aan dat de alomtegenwoordige dreiging van infostealer-malware niet over het hoofd kan worden gezien, vooral in het licht van de recente campagne tegen Snowflake.
De ontwikkeling komt nadat Enea het misbruik door sms-oplichters van cloudopslagdiensten zoals Amazon S3, Google Cloud Storage, Backblaze B2 en IBM Cloud Object Storage aan het licht bracht om gebruikers te misleiden zodat ze op valse links zouden klikken die doorverwijzen naar phishing-landingspagina's die klantgegevens overhevelen.
“Cybercriminelen hebben nu een manier gevonden om de mogelijkheid van cloudopslag te misbruiken om statische websites (meestal .HTML-bestanden) te hosten die spam-URL's in hun broncode bevatten”, aldus beveiligingsonderzoeker Manoj Kumar.
“De URL die linkt naar de cloudopslag wordt verspreid via sms-berichten, die authentiek lijken en daardoor firewallbeperkingen kunnen omzeilen. Wanneer mobiele gebruikers op deze links klikken, die bekende cloudplatformdomeinen bevatten, worden ze doorgestuurd naar de statische website opgeslagen in de opslagemmer.”
In de laatste fase leidt de website gebruikers automatisch door naar de ingebedde spam-URL's of dynamisch gegenereerde URL's met behulp van JavaScript en misleidt hen om persoonlijke en financiële informatie prijs te geven.
“Aangezien het hoofddomein van de URL bijvoorbeeld de echte URL/domein van Google Cloud Storage bevat, is het een uitdaging om deze via normaal URL-scannen te achterhalen”, aldus Kumar. “Het detecteren en blokkeren van dit soort URL's vormt een voortdurende uitdaging vanwege hun associatie met legitieme domeinen van gerenommeerde of prominente bedrijven.”
