Takma ad kullanan bir tehdit aktörü markopolo Bilgi hırsızı kötü amaçlı yazılımla sosyal medyadaki dijital para kullanıcılarını hedef alan ve kripto para hırsızlığı gerçekleştiren büyük ölçekli platformlar arası bir dolandırıcılığın arkasında olduğu belirlendi.
Recorded Future’dan Insikt Group, bu yayında yayınlanan bir analizde, saldırı zincirlerinin Rhadamanthys, StealC ve Atomic macOS Stealer (AMOS) sağlamak için bir kanal olarak kullanılan Vortax adlı sözde bir sanal toplantı yazılımının (ve diğer 23 uygulamanın) kullanımını içerdiğini söyledi. hafta.
Siber güvenlik şirketi, “Öncelikle kripto para birimi kullanıcılarını hedef alan bu kampanya, macOS güvenlik tehditlerinde önemli bir artışa işaret ediyor ve geniş bir kötü amaçlı uygulama ağını ortaya çıkarıyor.” kayıt edilmişMarkopolo’yu “çevik, uyarlanabilir ve çok yönlü” olarak tanımlıyor.
Vortax kampanyasını daha önceki faaliyetlerle ilişkilendiren kanıtlar mevcut. tuzak kimlik avı teknikleri Web3 oyun cazibesi aracılığıyla macOS ve Windows kullanıcılarını hedeflemek.
Kötü niyetli operasyonun çok önemli bir yönü, aktörlerin AI tarafından oluşturulduğundan şüphelenilen makalelerle dolu özel bir Medium blogunun yanı sıra X’te (eski adıyla Twitter) bir kimlik taşıyan doğrulanmış bir hesap bulundurarak Vortax’ı sosyal medyada ve internette meşrulaştırma girişimidir. altın onay işareti.
Bubi tuzaklı uygulamayı indirmek, kurbanların, Vortax hesabına verilen yanıtlar, doğrudan mesajlar ve kripto para birimiyle ilgili Discord ve Telegram kanalları aracılığıyla yayılan bir toplantı davetine benzersiz bir tanımlayıcı olan RoomID sağlamasını gerektiriyor.
Bir kullanıcı Vortax web sitesinde gerekli Oda Kimliğini girdiğinde, bir Dropbox bağlantısına veya yazılım için bir yükleyici hazırlayan harici bir web sitesine yönlendirilir ve bu da sonuçta hırsız kötü amaçlı yazılımın dağıtımına yol açar.
Recorded Future, “Bu kampanyayı yürüten ve markopolo olarak tanımlanan tehdit aktörü, tüm yapılar için paylaşımlı barındırma ve C2 altyapısından yararlanıyor” dedi.
“Bu, tehdit aktörünün çevik bir kampanyayı mümkün kılmak için kolaylığa güvendiğini, dolandırıcılık tespit edildiğinde veya getirisi azaldığında hızla vazgeçtiğini ve yeni tuzaklara yöneldiğini gösteriyor.”
Kripto araştırmacısı ZachXBT’nin geçen hafta X’te (eski adıyla Twitter) paylaştığı ayrıntılara göre, adı açıklanmayan bir kişinin Vortax dolandırıcılığının kurbanı olduktan sonra 245.000 dolar kaybettiği söyleniyor.
“İndirdikten kısa bir süre sonra [Vortax]ZachXBT, kurbanın kripto varlıklarının cüzdanlarından aktarıldığını belirtti. söz konusu. “Fonlar daha sonra birden fazla aracı adres aracılığıyla aktarıldı ve borsalara yatırıldı.”
Bulgular, özellikle Snowflake’i hedef alan son kampanyanın ışığında, yaygın bilgi hırsızlığı yapan kötü amaçlı yazılım tehdidinin göz ardı edilemeyeceğini gösteriyor.
Bu gelişme, Enea’nın SMS dolandırıcılarının Amazon S3, Google Cloud Storage, Backblaze B2 ve IBM Cloud Object Storage gibi bulut depolama hizmetlerini kötüye kullanarak kullanıcıları müşteri verilerini sifonlayan kimlik avı açılış sayfalarına yönlendiren sahte bağlantılara tıklamaları için kandırdıklarını ortaya çıkarmasıyla ortaya çıktı.
Güvenlik araştırmacısı Manoj Kumar, “Siber suçlular artık, kaynak kodlarında gömülü spam URL’leri içeren statik web sitelerini (genellikle .HTML dosyaları) barındırmak için bulut depolamanın sağladığı olanaktan yararlanmanın bir yolunu buldu.” söz konusu.
“Bulut depolama alanına bağlantı veren URL, orijinal gibi görünen ve dolayısıyla güvenlik duvarı kısıtlamalarını atlayabilen metin mesajları yoluyla dağıtılıyor. Mobil kullanıcılar, iyi bilinen bulut platformu etki alanlarını içeren bu bağlantılara tıkladıklarında, statik web sitesine yönlendiriliyorlar. depolama kovasında saklanıyor.”
Son aşamada, web sitesi kullanıcıları otomatik olarak yerleşik spam URL’lere veya JavaScript kullanarak dinamik olarak oluşturulmuş URL’lere yönlendirir ve onları kişisel ve finansal bilgilerden ayrılmaları için kandırır.
Kumar, “URL’nin ana alanı, örneğin orijinal Google Cloud Storage URL’sini/etki alanını içerdiğinden, bunu normal URL taramasıyla yakalamak zordur” dedi. “Bu nitelikteki URL’lerin tespit edilmesi ve engellenmesi, bunların saygın veya önde gelen şirketlere ait meşru alan adlarıyla olan ilişkileri nedeniyle süregelen bir zorluk teşkil etmektedir.”
