Un actor de amenazas que usa un alias. markopolo ha sido identificado como detrás de una estafa multiplataforma a gran escala que apunta a usuarios de moneda digital en las redes sociales con malware de ladrón de información y lleva a cabo el robo de criptomonedas.
Las cadenas de ataques implican el uso de un supuesto software de reuniones virtuales llamado Vortax (y otras 23 aplicaciones) que se utilizan como conducto para entregar Rhadamanthys, StealC y Atomic macOS Stealer (AMOS), dijo Insikt Group de Recorded Future en un análisis publicado este semana.
«Esta campaña, dirigida principalmente a usuarios de criptomonedas, marca un aumento significativo de las amenazas a la seguridad de macOS y revela una red expansiva de aplicaciones maliciosas», dijo la empresa de ciberseguridad. anotadodescribiendo a Markopolo como «ágil, adaptable y versátil».
Hay evidencia que conecta la campaña de Vortax con actividades anteriores que aprovecharon técnicas de phishing trampa para apuntar a usuarios de macOS y Windows a través de señuelos de juegos Web3.
Un aspecto crucial de la operación maliciosa es su intento de legitimar a Vortax en las redes sociales e Internet, con los actores manteniendo un blog dedicado en Medium lleno de artículos sospechosos generados por IA, así como una cuenta verificada en X (anteriormente Twitter) con un marca de verificación de oro.
La descarga de la aplicación trampa requiere que las víctimas proporcionen un RoomID, un identificador único para una invitación a una reunión que se propaga a través de respuestas a la cuenta de Vortax, mensajes directos y canales de Discord y Telegram relacionados con criptomonedas.
Una vez que un usuario ingresa la ID de habitación necesaria en el sitio web de Vortax, se le redirige a un enlace de Dropbox o a un sitio web externo que ejecuta un instalador del software, lo que en última instancia conduce a la implementación del malware ladrón.
«El actor de amenazas que opera esta campaña, identificado como markopolo, aprovecha el alojamiento compartido y la infraestructura C2 para todas las compilaciones», dijo Recorded Future.
«Esto sugiere que el actor de la amenaza depende de la conveniencia para permitir una campaña ágil, abandonando rápidamente las estafas una vez que se detectan o producen rendimientos decrecientes, y recurre a nuevos señuelos».
Los hallazgos muestran que no se puede pasar por alto la amenaza generalizada del malware de robo de información, especialmente a la luz de la reciente campaña dirigida a Snowflake.
El desarrollo se produce cuando Enea reveló que los estafadores de SMS abusan de los servicios de almacenamiento en la nube como Amazon S3, Google Cloud Storage, Backblaze B2 e IBM Cloud Object Storage para engañar a los usuarios para que hagan clic en enlaces falsos que dirigen a páginas de destino de phishing que desvían datos de los clientes.
«Los ciberdelincuentes han encontrado ahora una manera de aprovechar las posibilidades que ofrece el almacenamiento en la nube para alojar sitios web estáticos (normalmente archivos .HTML) que contienen URL de spam incrustadas en su código fuente», afirma el investigador de seguridad Manoj Kumar. dicho.
«La URL que enlaza con el almacenamiento en la nube se distribuye a través de mensajes de texto, que parecen ser auténticos y, por lo tanto, pueden eludir las restricciones del firewall. Cuando los usuarios móviles hacen clic en estos enlaces, que contienen dominios conocidos de plataformas en la nube, se les dirige al sitio web estático almacenado en el cubo de almacenamiento.»
En la etapa final, el sitio web redirige automáticamente a los usuarios a las URL de spam incrustadas o a las URL generadas dinámicamente mediante JavaScript y los engaña para que proporcionen información personal y financiera.
«Dado que el dominio principal de la URL contiene, por ejemplo, la URL/dominio genuino de Google Cloud Storage, es un desafío detectarlo mediante el escaneo de URL normal», dijo Kumar. «Detectar y bloquear URL de esta naturaleza presenta un desafío continuo debido a su asociación con dominios legítimos que pertenecen a empresas destacadas o de buena reputación».