Kripto para birimini çalmayı amaçlayan yaygın bir kampanya, hem macOS hem de Windows platformları için sahte sanal toplantı yazılımı aracılığıyla bir bilgi hırsızları dalgası yayıyor ve özellikle de tehlikeli Atomic hırsızıyla ilkini hedef alıyor.
Recorded Future’dan Insikt Group tarafından keşfedilen ve “Markopolo” adlı bir tehdit aktörüne atfedilen kampanya, Vortax adlı sahte bir uygulamanın ayrıntılı Web ve sosyal medya varlığından sorumludur. rapor (PDF) bu hafta yayınlandı.
Araştırmacılar, Vortax’ın çeşitli platformlar için sanal toplantı yazılımı olduğu iddia ediliyor ancak aslında üç bilgi hırsızı için bir dağıtım mekanizması olduğunu buldu: Rhadamanthys, Stealc ve Atomic. Saldırganlar, kimlik bilgilerini çalmak amacıyla sosyal medya ve Telegram kanalları aracılığıyla kampanyadaki kripto para birimi kullanıcılarını hedef alıyor. kripto çalmak Insikt’e göre onlardan.
Kampanya, o zamanlar yalnızca Rusça konuşan bir tehdit grubu olarak tanımlanan Markopolo’nun daha önce bildirdiği bir saldırıyla bağlantılı. önceden hedeflenmiş Web3 oyun topluluğu. Insikt’e göre grubun, tespit edildiğinde yeni dolandırıcılıklara çevik bir şekilde yönelebilmek için paylaşımlı barındırma ve komuta ve kontrol (C2) altyapısını kullanması biliniyor.
“Kampanya, Markopolo’yu potansiyel olarak konumlandıran yaygın bir kimlik toplama operasyonuna işaret ediyor ilk erişim komisyoncusu Insikt Group şunları yazdı: “Rus Pazarı veya 2easy Shop gibi Dark Web mağazalarında ‘log satıcısı’ veya ‘günlük satıcısı’ bir blog yazısı raporla ilişkilidir.
Faaliyet aynı zamanda bir artış olduğunu da gösteriyor macOS’u hedef alan bilgi hırsızlarıInsikt Group raporunda, geleneksel olarak Windows muadillerine göre daha az yaygın olan . Son araştırmalara göre özellikle Atomik hırsızların raporları artıyor.
“Yüksek hacim [Atomic] Bu kampanyada gözlemlenen etkinlik, macOS kötü amaçlı yazılımlarından ve açıklardan yararlanma kitlerinden bahsedildiğinin 2022’den 2023’e kadar yıllık bazda %79 arttığını tespit eden önceki Insikt Group raporlarına dayanıyor. Rapora göre bu, aralarında bir bağlantı olduğunu “gösterebilir”. Araştırmacılar, macOS kötü amaçlı yazılımlarına yapılan genel referans sayısını ve doğada gözlemlenen Atom hırsızı kampanyalarının sıklığının arttığını belirtti.
Vortax: İkna Edici Bir Markanın Arkasına Saklanan Tehditler
Kampanyanın temeli, saldırganların ikna edici bir çevrimiçi marka oluşturduğu, çapraz platform olarak pazarlanan ve yapay zeka ile güçlendirilmiş sahte “kendi kendini ilan eden” bir sanal toplantı yazılımı olan Vortax’a dayanıyor. Tüm büyük arama motorları, sosyal medya platformlarında (@VortaxSpace) var olan ve hatta AI tarafından oluşturulmuş olması muhtemel makaleleri kullanan bir Medium blogu bulunduran Vortax’ı indeksler.
Yazılımın arkasındaki şirket, Toronto’da aslında bir apartman olan bir adres üzerinden faaliyet gösterdiğini iddia ediyor ve hatta internette Forbes gibi saygın yayınlardan aldığı sahte ödüllerle övünüyor. Ancak daha yakından incelendiğinde, Vortax’ın bir sahtekarlık olduğu ortaya çıktı ve bu, özellikle ilgili web sitesi alanları olan vortax.io ve vortax.space tarafından da kanıtlandı; ikincisi o zamandan beri askıya alındı. — Insikt’e göre bunlar yazım ve dilbilgisi hatalarıyla dolu.
Vortax, sitelerinde Windows, Linux, macOS, iOS ve Android uygulamalarının reklamını yapıyor, ancak kullanıcılar aslında toplantı daveti işlevi gören “Oda Kimliği” olmadan uygulamaları indiremiyor.
Vortax ile ilişkili hesapların Oda Kimliklerini paylaşmak için dört temel yöntemi vardır; en yaygın olanları R12307012, R39264552, R87103129 ve R71231209’dur. Bu yöntemler şunları içerir: sosyal medyadaki Vortax hesabına verilen yanıtlar; sosyal medyadaki doğrudan mesajlar; kripto para birimiyle ilgili Telegram kanallarında paylaşım yapmak; ve kripto para birimi temalı Discord kanallarında paylaşım yapmak.
Bu kimlikler sonuçta Vortax’ı indirecek bir yükleyiciye yol açıyor; bu, bilgi hırsızlığı yapan kötü amaçlı yazılımları dağıtmak için sadece bir paravan olarak tanımlanıyor. Sahte yazılım, Windows platformlarında Rhadamanthys Ve çalmakAtomic hırsızını macOS platformlarına yüklerken.
Rapora göre, kullanıcıya Vortax’ın gerçekte hiçbir zaman kurulmadığı, yükleme işleminin “çalışmasını engelleyen kritik hatalarla karşılaştığını iddia ettiği” ancak yazılımın aslında arka planda “birçok kötü amaçlı işlem çalıştırdığı” anlaşılıyor. .
Kötü Amaçlı Yazılım Gizleyen Yazılımlara Karşı Azaltma
Rapora göre Insikt, özellikle giderek daha fazla hedef alınan ve bu nedenle yeni dikkat ve “sağlam savunma stratejileri” gerektiren macOS platformunda, kampanyanın hafifletilmesi için bir dizi öneride bulundu.
Gerçekten de, daha önce aracılığıyla dağıtılan Atomik hırsızın dağıtımı sahte yazılım güncellemeleri, tehdit aktörlerinin macOS’a bilgi çalarak bir dönüş yaptığını gösteriyor. Insikt’e göre kampanyanın hafifletici önlemlerinden biri, Atomic bilgi hırsızı tespit sistemlerinin enfeksiyonları önlemek için düzenli olarak güncellenmesini sağlamak.
Kuruluşlar ayrıca kullanıcıları, özellikle sosyal medya veya arama motorlarından onaylanmamış yazılım indirmenin riskleri konusunda eğitmeli ve çalışanların bunu yapmasını önlemek için sıkı güvenlik kontrolleri uygulamalıdır. Ayrıca kurumsal ağ kullanıcılarını sosyal medya ve diğer platformlarda karşılaşılan şüpheli etkinlikleri bildirmeye teşvik etmelidirler.
Insikt Group’a göre, Atomic hırsızı ve diğer macOS kötü amaçlı yazılımlarıyla ilişkili kötü amaçlı alanları ve IP adreslerini tarayan istihbarat ve izleme platformlarını kullanmak da bulaşmayı önlemeye yardımcı olabilir.