Buvo atskleista didžiulė informacijos vagystė kenkėjiškų programų operacija, apimanti trisdešimt kampanijų, nukreiptų į platų demografinių rodiklių ir sistemos platformų spektrą, priskiriama kibernetinei nusikaltėlių grupei, pavadintai „Marko Polo“.
Grėsmės veikėjai naudoja įvairius platinimo kanalus, įskaitant netinkamą reklamavimą, slaptą sukčiavimą ir apsimetinėjimą prekės ženklu internetiniuose žaidimuose, kriptovaliuta ir programinė įranga, kad išplatintų 50 kenkėjiškų programų, įskaitant AMOS, Stealc ir Rhadamanthys.
Pasak „Recorded Future's Insikt Group“, sekusios „Marko Polo“ operaciją, kenkėjiškų programų kampanija paveikė tūkstančius žmonių, o galimi milijoniniai finansiniai nuostoliai.
„Remiantis plačiai paplitusiu „Marko Polo“ kampanijos pobūdžiu, „Insikt Group“ įtaria, kad visame pasaulyje tikriausiai buvo pažeista dešimtys tūkstančių įrenginių – atskleidžiami jautrūs asmeniniai ir įmonės duomenys“, – perspėja „Recorded Future“ „Insikt Group“.
„Tai kelia didelę riziką tiek vartotojų privatumui, tiek verslo tęstinumui. Beveik neabejotinai generuodama milijonus dolerių neteisėtų pajamų, ši operacija taip pat išryškina neigiamą ekonominį tokios kibernetinės nusikalstamos veiklos poveikį.”
Šaltinis: Recorded Future
Didelės vertės spąstų nustatymas
„Insikt Group“ praneša, kad „Marko Polo“ pirmiausia pasikliauja sukčiavimu tiesioginiais pranešimais socialinės žiniasklaidos platformose, kad pasiektų vertingus tikslus, tokius kaip kriptovaliutų įtakingi asmenys, žaidėjai, programinės įrangos kūrėjai ir kiti žmonės, galintys tvarkyti vertingus duomenis ar turtą.
Aukos yra viliojamos atsisiųsti kenkėjišką programinę įrangą sąveikaudamos su tuo, kas, jų manymu, yra teisėtos darbo galimybės arba bendradarbiavimas projektuose.
Kai kurie prekių ženklai, kuriais apsimeta, yra „Fortnite“ (žaidimai), „Party Icon“ (žaidimai), „RuneScape“ (žaidimai), „Rise Online World“ (žaidimai), „Zoom“ (produktyvumas) ir „PeerMe“ (kriptovaliuta).
Marko Polo taip pat naudoja savo sukurtus prekės ženklus, nesusijusius su esamais projektais, pvz., „Vortax/Vorion“ ir „VDeck“ (susitikimų programinė įranga), „Wasper“ ir „PDFUnity“ (bendradarbiavimo platformos), „SpectraRoom“ (šifravimo komunikacija) ir „NightVerse“ (žiniatinklio 3 žaidimas).
Kai kuriais atvejais aukos nukreipiamos į netikrų virtualių susitikimų, pranešimų ir žaidimų programų, kurios naudojamos kenkėjiškoms programoms įdiegti, svetainę. Kitos kampanijos platina kenkėjiškas programas per vykdomuosius failus (.exe arba .dmg) torrent failuose.
Šaltinis: Recorded Future
Paveikiama ir „Windows“, ir „MacOS“.
Marko Polo įrankių rinkinys yra įvairus, parodantis grėsmių grupės gebėjimą vykdyti kelių platformų ir kelių vektorių atakas.
Sistemoje „Windows“ sistemoje „HijackLoader“ naudojama „Stealc“ – bendros paskirties lengvas informacijos vagis, skirtas duomenims iš naršyklių ir kriptovaliutų programėlių rinkti, arba „Rhadamanthys“ – labiau specializuotas vagis, skirtas įvairioms programoms ir duomenų tipams.
Paskutiniame atnaujinime Rhadamanthys pridėjo kirpimo priedą, galintį nukreipti mokėjimus kriptovaliuta į užpuolikų pinigines, galimybę atkurti ištrintus „Google“ paskyros slapukus ir „Windows Defender“ vengimą.
Kai taikinys naudoja „macOS“, „Marko Polo“ diegia „Atomic“ („AMOS“). Šis vagis buvo paleistas 2023 m. viduryje ir buvo nuomojamas kibernetiniams nusikaltėliams už 1000 USD per mėnesį, todėl jie galėjo paimti įvairius žiniatinklio naršyklėse saugomus duomenis.
AMOS taip pat gali panaudoti „MetaMask“ sėklas ir pavogti „Apple Keychain“ slaptažodžius, kad gautų „WiFi“ slaptažodžius, išsaugotus prisijungimus, kredito kortelių duomenis ir kitą užšifruotą informaciją, saugomą „macOS“.
Šaltinis: Recorded Future
Kenkėjiškos kampanijos, apimančios informaciją vagiančias kenkėjiškas programas, bėgant metams labai išaugo, o grėsmės veikėjai taikosi į aukas per nulinės dienos pažeidžiamumą, netikrus VPN, „GitHub“ problemų pataisymus ir net atsakymus „StackOverflow“.
Tada šie kredencialai naudojami siekiant pažeisti įmonių tinklus, vykdyti duomenų vagysčių kampanijas, kaip matėme su didžiuliu „SnowFlake“ paskyros pažeidimu, ir sukelti chaosą sugadinant tinklo maršruto informaciją.
Norėdami sumažinti riziką, kad jūsų sistemoje atsisiunčiama ir paleidžiama kenkėjiška programinė įranga „Infostealer“, nesekite nuorodų, kuriomis dalijasi nepažįstami žmonės, ir atsisiųskite programinę įrangą tik iš oficialių projekto svetainių.
Marko Polo naudojamą kenkėjišką programą aptinka dauguma naujausių antivirusinių programų, todėl atsisiųstų failų nuskaitymas prieš juos vykdant turėtų sutrikdyti užkrėtimo procesą dar jam neprasidėjus.