"Marko Polo" adlı siber suçlu bir gruba atfedilen geniş bir demografi ve sistem platformu yelpazesini hedefleyen otuz kampanyayı kapsayan büyük bir Infostealer kötü amaçlı yazılım operasyonu ortaya çıkarıldı.
Tehdit oyuncusu, AMOS, STEALC ve Rhadamanthys dahil 50 kötü amaçlı yazılım yükü yaymak için çevrimiçi oyun, kripto para birimi ve yazılımda kötü niyetli, mızrak ve marka taklit etme gibi çeşitli dağıtım kanalları kullanıyor.
Marko Polo operasyonunu izleyen kaydedilen Future's InKt grubuna göre, kötü amaçlı yazılım kampanyası binlerce kişiyi etkiledi ve milyonlarca potansiyel finansal kayıplar.
"Marko Polo kampanyasının yaygın doğasına dayanarak, Insikt Group muhtemelen on binlerce cihazın küresel olarak tehlikeye atıldığından şüpheleniyor - hassas kişisel ve kurumsal verileri ortaya çıkarıyor."
Diyerek şöyle devam etti: "Bu, hem tüketici gizliliği hem de iş sürekliliği için önemli riskler oluşturmaktadır. Neredeyse kesinlikle yasadışı gelirde milyonlarca dolar üreten bu operasyon, bu tür siber suç faaliyetlerinin olumsuz ekonomik etkilerini de vurgulamaktadır."
Insikt Group, Marko Polo'nun öncelikle kripto para birimi etkileyicileri, oyuncular, yazılım geliştiricileri ve değerli verileri veya varlıkları ele alması muhtemel diğer kişiler gibi yüksek değerli hedeflere ulaşmak için sosyal medya platformlarındaki doğrudan mesajlar yoluyla spearphishing'e dayandığını bildiriyor.
Mağdurlar, meşru iş fırsatları veya proje işbirlikleri olduğuna inanmak için kandırıldıkları şeyle etkileşime girerek kötü amaçlı yazılımlar indirmeye çekilir.
Kuşkusuz markalardan bazıları Fortnite (oyun), parti simgesi (oyun), runescape (oyun), Rise Online World (oyun), zoom (üretkenlik) ve peerme (kripto para birimi) yer alıyor.
Marko Polo ayrıca Vortax/Vorion ve Vdeck (Toplantı Yazılımı), Wasper ve PDFunity (işbirliği platformları), Spectraroom (Crypto Communications) ve NightVer (Web3 Game) gibi mevcut projelerle ilgili olmayan kendi makyaj markalarını da kullanıyor.
Bazı durumlarda, kurbanlar, kötü amaçlı yazılım yüklemek için kullanılan sahte sanal toplantı, mesajlaşma ve oyun uygulamaları için bir web sitesine yönlendirilir. Diğer kampanyalar, kötü amaçlı yazılımları Torrent dosyalarında yürütülebilir ürünler (.exe veya .dmg) aracılığıyla dağıtır.
Marko Polo'nun araç seti, tehdit grubunun çok platform ve çok vektör saldırıları gerçekleştirme yeteneğini gösteren çeşitlidir.
Windows'ta, HighackLoader, tarayıcılardan ve kripto cüzdan uygulamalarından veri toplamak için tasarlanmış genel amaçlı hafif bir info-steal, veya çok çeşitli uygulamaları ve veri türlerini hedefleyen daha özel bir stealer olan Rhadamanthys'i sunmak için kullanılır.
Yakın zamanda yapılan bir güncellemede, Rhadamanthys, kripto para ödemelerini saldırganların cüzdanlarına yönlendirebilen bir kesme eklentisi, silinen Google hesap çerezlerini kurtarabilme yeteneği ve Windows Defender kaçınma ekledi.
Hedef macOS kullandığında, Marko Polo Atomic'i ('Amos') dağıtır. Bu stealer, 2023'ün ortalarında piyasaya sürüldü, ayda 1000 $ karşılığında siber suçlulara kiralandı ve web tarayıcılarında depolanan çeşitli verileri kapmalarına izin verdi.
Amos ayrıca WiFi şifrelerini, kaydedilmiş girişleri, kredi kartı verilerini ve macOS'ta depolanan diğer şifreli bilgileri almak için Brute-Force Metamask tohumlarını ve Apple Anahtarlık şifrelerini çalabilir.
Bilgi çalma kötü amaçlı yazılımları içeren kötü niyetli kampanyalar, yıllar boyunca büyük bir büyüme gördü, tehdit aktörleri kurbanları sıfır gün güvenlik açıkları, sahte VPN'ler, Github sorunlarına yönelik düzeltmeler ve hatta StackOverflow'daki cevaplar.
Bu kimlik bilgileri daha sonra kurumsal ağları ihlal etmek, büyük kar tanesi hesabı ihlalleri ile gördüğümüz gibi veri hırsızlığı kampanyaları yapmak ve ağ yönlendirme bilgilerini bozarak kaosa neden olmak için kullanılır.
Infostealer kötü amaçlı yazılımları sisteminize indirme ve çalıştırma riskini azaltmak için, yabancılar tarafından paylaşılan bağlantıları takip etmeyin ve yalnızca resmi proje web sitelerinden yazılım indirin.
Marko Polo tarafından kullanılan kötü amaçlı yazılım, en güncel antivirüs yazılımı tarafından tespit edilir, bu nedenle indirilen dosyaları yürütmeden önce taramak, enfeksiyon sürecini başlamadan önce bozmalıdır.
Google kimlik bilgilerini çalmak için kötü amaçlı yazılım tarayıcısını kiosk modunda kilitler
CISA, Infostealer kötü amaçlı yazılım saldırılarında kullanılan Windows Flaw'ı uyarıyor
Facebook'ta sahte AI Editör Reklamları Şifre Çalma Kötü Yazılım
Google Reklamlar Sahte Google Authenticator Site Push Malweing Makence
Github Yorumları Şifre Yatmak İçin İstismar edildi Kötü Yazılımları Düzeltmeler olarak Maskelenmiş
Kaynak: Bleeping Computer