Masívní útok zneužívá mnoho forem

Útok byl veden zneužitím padesáti variant škodlivého kódu, mezi něž patřily známé malwary AMOS, Stealc a Rhadamantys. Jako distribuční kanály posloužily e-mailové phishingové zprávy a maskování se za známé a rozšířené značky v online hrách, kryptoměnách a s nimi souvisejících aplikacích.

Podle společnosti Insikt Group ze skupiny Recorded Future, která operaci „Marko Polo“ sledovala, měla tato malwarová kampaň dopad na tisíce lidí s potenciálními finančními ztrátami v řádech milionů.

Zástupci Insikt Group k celé věci vyjádřili velké obavy: „Pravděpodobně došlo ke kompromitaci desítek tisíc zařízení po celém světě, což vedlo k odhalení citlivých osobních a firemních dat. Představuje to významné riziko pro soukromí spotřebitelů i pro kontinuitu podnikání. Tato operace, která téměř jistě generuje miliony dolarů v podobě nelegálních příjmů, také poukazuje na negativní ekonomické dopady podobných kyberzločineckých aktivit.„

Nastavení „vysoce vytěžitelných“ pastí

Podle Insikt Group se Marko Polo se spoléhá především na spearphishing prostřednictvím přímých zpráv na platformách sociálních médií. Tak chce oslovit cíle s „vysokou hodnotou“, což jsou především vlivní lidé v oblasti kryptoměn, hráči, vývojáři softwaru a další osoby, které mohou nakládat s cennými daty nebo majetkem.

Oběti jsou lákány ke stažení škodlivého softwaru. Děje se to tak,  že komunikují s maskovanými podvodníky o domnělých legitimních pracovních příležitostech nebo spolupráci na projektech.

Mezi zneužívanými značkami jsou známé hry, a také komunikační platforma:

• Fortnite,
• Party Icon,
• Rise Online World,
• Zoom,
• PeerMe.

Marko Polo ale také používá vlastní fiktivní značky, které neparazitují na obecně známých a hojně rozšířených aplikacích. Patří mezi ně především:

• Vortax/Vorion a VDeck (software pro schůzky),
• Wasper a PDFUnity (platformy pro spolupráci),
• SpectraRoom (komunikační platforma s tématikou kryptoměn),
• NightVerse (webová hra).

V některých případech jsou oběti směrovány na webové stránky falešných virtuálních schůzek, aplikací pro zasílání zpráv a her, které ale reálně slouží k instalaci malwaru. Jiné kampaně distribuují malware prostřednictvím spustitelných souborů (.exe nebo .dmg) v torrentových souborech.

Cílí jak na Windows, tak i macOS

Soubor nástrojů skupiny Marko Polo je různorodý a svědčí o tom, že tato skupina je schopna provádět útoky na více platforem a více sektorů.

V systému Windows se používá univerzální zloděj informací „Stealc“, určený ke sběru dat z prohlížečů a aplikací kryptopeněženek, a dále Rhadamanthys, specializovanější zloděj, který se zaměřuje na širokou škálu aplikací a typů dat.

Rhadamanthys byl v nedávné aktualizaci rozšířen o plugin clipper, který dokáže přesměrovat platby v kryptoměnách do peněženek útočníků, obnovuje smazané soubory cookie účtu Google a obchází nástroj Windows Defender.

Pro útok na macOS Marko Polo vyvinul malware AMOS, který umožňuje sběr rozličných dat, uložených v internetovém prohlížeči. Je také schopen útoku hrubou silou s cílem prolomení hesel Apple Keychain, Wi-Fi, krádeže přihlašovacích údajů, informací o platebních kartách a dalších šifrovaných informací, uložených na macOS.

Škodlivé kampaně, zahrnující šíření malwaru kradoucího informace, zaznamenaly v posledních letech masivní nárůst. Aktéři hrozeb cílí na oběti prostřednictvím zranitelností nultého dne, falešných VPN, oprav problémů na GitHubu a dokonce i odpovědí na diskuzním fóru StackOverflow.

Chcete-li snížit riziko stažení a spuštění škodlivého softwaru typu Infostealer ve svém systému, neklikejte na odkazy sdílené cizími osobami a stahujte software pouze z oficiálních webových stránek jednotlivých projektů.

A jedna dobrá zpráva nakonec: malware používaný skupinou Marko Polo je detekována většinou aktuálních antivirových programů. Skenování stažených souborů z internetu před jejich spuštěním by mělo přerušit proces infekce ještě před jeho zahájením.

Zdroj: Bleeping Computer, Recorded Future / Insikt Group

Masívní útok zneužívá mnoho forem

Útok byl veden zneužitím padesáti variant škodlivého kódu, mezi něž patřily známé malwary AMOS, Stealc a Rhadamantys. Jako distribuční kanály posloužily e-mailové phishingové zprávy a maskování se za známé a rozšířené značky v online hrách, kryptoměnách a s nimi souvisejících aplikacích.

Podle společnosti Insikt Group ze skupiny Recorded Future, která operaci „Marko Polo“ sledovala, měla tato malwarová kampaň dopad na tisíce lidí s potenciálními finančními ztrátami v řádech milionů.

Zástupci Insikt Group k celé věci vyjádřili velké obavy: „Pravděpodobně došlo ke kompromitaci desítek tisíc zařízení po celém světě, což vedlo k odhalení citlivých osobních a firemních dat. Představuje to významné riziko pro soukromí spotřebitelů i pro kontinuitu podnikání. Tato operace, která téměř jistě generuje miliony dolarů v podobě nelegálních příjmů, také poukazuje na negativní ekonomické dopady podobných kyberzločineckých aktivit.„

Nastavení „vysoce vytěžitelných“ pastí

Podle Insikt Group se Marko Polo se spoléhá především na spearphishing prostřednictvím přímých zpráv na platformách sociálních médií. Tak chce oslovit cíle s „vysokou hodnotou“, což jsou především vlivní lidé v oblasti kryptoměn, hráči, vývojáři softwaru a další osoby, které mohou nakládat s cennými daty nebo majetkem.

Oběti jsou lákány ke stažení škodlivého softwaru. Děje se to tak,  že komunikují s maskovanými podvodníky o domnělých legitimních pracovních příležitostech nebo spolupráci na projektech.

Mezi zneužívanými značkami jsou známé hry, a také komunikační platforma:

• Fortnite,
• Party Icon,
• Rise Online World,
• Zoom,
• PeerMe.

Marko Polo ale také používá vlastní fiktivní značky, které neparazitují na obecně známých a hojně rozšířených aplikacích. Patří mezi ně především:

• Vortax/Vorion a VDeck (software pro schůzky),
• Wasper a PDFUnity (platformy pro spolupráci),
• SpectraRoom (komunikační platforma s tématikou kryptoměn),
• NightVerse (webová hra).

V některých případech jsou oběti směrovány na webové stránky falešných virtuálních schůzek, aplikací pro zasílání zpráv a her, které ale reálně slouží k instalaci malwaru. Jiné kampaně distribuují malware prostřednictvím spustitelných souborů (.exe nebo .dmg) v torrentových souborech.

Cílí jak na Windows, tak i macOS

Soubor nástrojů skupiny Marko Polo je různorodý a svědčí o tom, že tato skupina je schopna provádět útoky na více platforem a více sektorů.

V systému Windows se používá univerzální zloděj informací „Stealc“, určený ke sběru dat z prohlížečů a aplikací kryptopeněženek, a dále Rhadamanthys, specializovanější zloděj, který se zaměřuje na širokou škálu aplikací a typů dat.

Rhadamanthys byl v nedávné aktualizaci rozšířen o plugin clipper, který dokáže přesměrovat platby v kryptoměnách do peněženek útočníků, obnovuje smazané soubory cookie účtu Google a obchází nástroj Windows Defender.

Pro útok na macOS Marko Polo vyvinul malware AMOS, který umožňuje sběr rozličných dat, uložených v internetovém prohlížeči. Je také schopen útoku hrubou silou s cílem prolomení hesel Apple Keychain, Wi-Fi, krádeže přihlašovacích údajů, informací o platebních kartách a dalších šifrovaných informací, uložených na macOS.

Škodlivé kampaně, zahrnující šíření malwaru kradoucího informace, zaznamenaly v posledních letech masivní nárůst. Aktéři hrozeb cílí na oběti prostřednictvím zranitelností nultého dne, falešných VPN, oprav problémů na GitHubu a dokonce i odpovědí na diskuzním fóru StackOverflow.

Chcete-li snížit riziko stažení a spuštění škodlivého softwaru typu Infostealer ve svém systému, neklikejte na odkazy sdílené cizími osobami a stahujte software pouze z oficiálních webových stránek jednotlivých projektů.

A jedna dobrá zpráva nakonec: malware používaný skupinou Marko Polo je detekována většinou aktuálních antivirových programů. Skenování stažených souborů z internetu před jejich spuštěním by mělo přerušit proces infekce ještě před jeho zahájením.

Zdroj: Bleeping Computer, Recorded Future / Insikt Group