Golpe de Markopolo visando usuários criptográficos por meio de software program de reunião falso
Um ator de ameaça que atende pelo pseudônimo Markopolo foi identificado como responsável por um golpe de plataforma cruzada em grande escala que visa usuários de moeda digital nas redes sociais com malware ladrão de informações e realiza roubo de criptomoeda.
As cadeias de ataque envolvem o uso de um suposto software program de reunião digital chamado Vortax (e 23 outros aplicativos) que são usados como um canal para entregar Rhadamanthys, StealC e Atomic macOS Stealer (AMOS), disse o Insikt Group da Recorded Future em uma análise publicada este semana.
“Esta campanha, visando principalmente usuários de criptomoedas, marca um aumento significativo nas ameaças à segurança do macOS e revela uma rede expansiva de aplicativos maliciosos”, observou a empresa de segurança cibernética, descrevendo o markopolo como “ágil, adaptável e versátil”.
Há evidências que conectam a campanha Vortax a atividades anteriores que alavancaram técnicas de lure phishing para atingir usuários de macOS e Home windows por meio de iscas de jogos Web3.
Um aspecto essential da operação maliciosa é sua tentativa de legitimar o Vortax nas redes sociais e na web, com os atores mantendo um weblog dedicado no Medium, repleto de artigos suspeitos de serem gerados por IA, bem como uma conta verificada no X (antigo Twitter) carregando um ouro marca de seleção.
O obtain do aplicativo com armadilha exige que as vítimas forneçam um RoomID, um identificador exclusivo para um convite de reunião que é propagado por meio de respostas à conta Vortax, mensagens diretas e canais Discord e Telegram relacionados a criptomoedas.
Depois que um usuário insere o Room ID necessário no website da Vortax, ele é redirecionado para um hyperlink do Dropbox ou para um website externo que prepara um instalador do software program, o que, em última análise, leva à implantação do malware ladrão.
“O ator de ameaça que opera esta campanha, identificado como markopolo, aproveita hospedagem compartilhada e infraestrutura C2 para todas as compilações”, disse Recorded Future.
“Isso sugere que o ator da ameaça depende da conveniência para permitir uma campanha ágil, abandonando rapidamente os golpes assim que são detectados ou produzindo retornos decrescentes, e migrando para novas iscas.”
As descobertas mostram que a ameaça generalizada do malware infostealer não pode ser ignorada, especialmente à luz da recente campanha direcionada ao Snowflake.
O desenvolvimento ocorre no momento em que a Enea revela o abuso de serviços de armazenamento em nuvem por golpistas de SMS, como Amazon S3, Google Cloud Storage, Backblaze B2 e IBM Cloud Object Storage, para induzir os usuários a clicar em hyperlinks falsos que direcionam para páginas de destino de phishing que desviam dados de clientes.
“Os cibercriminosos encontraram agora uma maneira de explorar a facilidade fornecida pelo armazenamento em nuvem para hospedar websites estáticos (normalmente arquivos .HTML) contendo URLs de spam incorporados em seu código-fonte”, disse o pesquisador de segurança Manoj Kumar.
“O URL com hyperlink para o armazenamento em nuvem é distribuído por meio de mensagens de texto, que parecem autênticas e podem, portanto, contornar as restrições do firewall. Quando os usuários móveis clicam nesses hyperlinks, que contêm domínios de plataforma em nuvem bem conhecidos, eles são direcionados para o website estático armazenado no balde de armazenamento.”
Na fase closing, o website redireciona automaticamente os usuários para URLs de spam incorporados ou URLs gerados dinamicamente usando JavaScript e os engana para que forneçam informações pessoais e financeiras.
“Como o domínio principal do URL contém, por exemplo, o URL/domínio genuíno do Google Cloud Storage, é um desafio capturá-lo por meio da verificação regular de URL”, disse Kumar. “Detectar e bloquear URLs desta natureza representa um desafio contínuo devido à sua associação com domínios legítimos pertencentes a empresas respeitáveis ou proeminentes”.
