Takma ad kullanan bir tehdit aktörü markopolo Bilgi hırsızı kötü amaçlı yazılımla sosyal medyadaki dijital para kullanıcılarını hedef alan ve kripto para hırsızlığı gerçekleştiren büyük ölçekli platformlar arası bir dolandırıcılığın arkasında olduğu belirlendi.
Recorded Future’dan Insikt Group, bu yayında yayınlanan bir analizde, saldırı zincirlerinin Rhadamanthys, StealC ve Atomic macOS Stealer (AMOS) sağlamak için bir kanal olarak kullanılan Vortax adlı sözde bir sanal toplantı yazılımının (ve diğer 23 uygulamanın) kullanımını içerdiğini söyledi. hafta.
Siber güvenlik şirketi, markopolo’yu “çevik, uyarlanabilir ve çok yönlü” olarak tanımlayarak, “Öncelikle kripto para birimi kullanıcılarını hedef alan bu kampanya, macOS güvenlik tehditlerinde önemli bir artışa işaret ediyor ve geniş bir kötü amaçlı uygulamalar ağını ortaya çıkarıyor.” dedi.
Vortax kampanyasını, Web3 oyun tuzakları yoluyla macOS ve Windows kullanıcılarını hedeflemek için tuzak kimlik avı tekniklerinden yararlanan önceki faaliyetlere bağlayan kanıtlar var.
Kötü niyetli operasyonun çok önemli bir yönü, aktörlerin AI tarafından oluşturulduğundan şüphelenilen makalelerle dolu özel bir Medium blogunun yanı sıra X’te (eski adıyla Twitter) altın taşıyan doğrulanmış bir hesapla Vortax’ı sosyal medyada ve internette meşrulaştırma girişimidir. onay işareti.
Bubi tuzaklı uygulamayı indirmek, kurbanların, Vortax hesabına verilen yanıtlar, doğrudan mesajlar ve kripto para birimiyle ilgili Discord ve Telegram kanalları aracılığıyla yayılan bir toplantı davetine benzersiz bir tanımlayıcı olan RoomID sağlamasını gerektiriyor.
Bir kullanıcı Vortax web sitesinde gerekli Oda Kimliğini girdiğinde, bir Dropbox bağlantısına veya yazılım için bir yükleyici hazırlayan harici bir web sitesine yönlendirilir ve bu da sonuçta hırsız kötü amaçlı yazılımın dağıtımına yol açar.
Recorded Future, “Bu kampanyayı yürüten ve markopolo olarak tanımlanan tehdit aktörü, tüm yapılar için paylaşımlı barındırma ve C2 altyapısından yararlanıyor” dedi.
“Bu, tehdit aktörünün çevik bir kampanyayı mümkün kılmak için kolaylığa güvendiğini, dolandırıcılık tespit edildiğinde veya getirisi azaldığında hızla vazgeçtiğini ve yeni tuzaklara yöneldiğini gösteriyor.”
Bulgular, özellikle Snowflake’i hedef alan son kampanyanın ışığında, yaygın bilgi hırsızlığı yapan kötü amaçlı yazılım tehdidinin göz ardı edilemeyeceğini gösteriyor.
Bu gelişme, Enea’nın SMS dolandırıcılarının Amazon S3, Google Cloud Storage, Backblaze B2 ve IBM Cloud Object Storage gibi bulut depolama hizmetlerini kötüye kullanarak kullanıcıları müşteri verilerini sifonlayan kimlik avı açılış sayfalarına yönlendiren sahte bağlantılara tıklamaları için kandırdıklarını ortaya çıkarmasıyla ortaya çıktı.
Güvenlik araştırmacısı Manoj Kumar, “Siber suçlular artık, kaynak kodlarında gömülü spam URL’leri içeren statik web sitelerini (genellikle .HTML dosyaları) barındırmak için bulut depolamanın sağladığı olanaktan yararlanmanın bir yolunu buldu” dedi.
“Bulut depolama alanına bağlantı veren URL, orijinal gibi görünen ve dolayısıyla güvenlik duvarı kısıtlamalarını atlayabilen metin mesajları yoluyla dağıtılıyor. Mobil kullanıcılar, iyi bilinen bulut platformu etki alanlarını içeren bu bağlantılara tıkladıklarında, statik web sitesine yönlendiriliyorlar. depolama kovasında saklanıyor.”
Son aşamada, web sitesi kullanıcıları otomatik olarak yerleşik spam URL’lere veya JavaScript kullanarak dinamik olarak oluşturulmuş URL’lere yönlendirir ve onları kişisel ve finansal bilgilerden ayrılmaları için kandırır.
Kumar, “URL’nin ana alanı, örneğin orijinal Google Cloud Storage URL’sini/etki alanını içerdiğinden, onu normal URL taramasıyla yakalamak zordur” dedi. “Bu nitelikteki URL’lerin tespit edilmesi ve engellenmesi, bunların saygın veya önde gelen şirketlere ait meşru alan adlarıyla olan ilişkileri nedeniyle süregelen bir zorluk teşkil etmektedir.”