Une opération massive de logiciels malveillants infostealer englobant trente campagnes ciblant un large éventail de données démographiques et de plates-formes système a été découverte, attribuée à un groupe de cybercriminels nommé « Marko Polo ». »
Les auteurs de la menace utilisent divers canaux de distribution, notamment la publicité malveillante, le harponnage et l’usurpation d’identité de marque dans les jeux en ligne, la crypto-monnaie et les logiciels, pour diffuser 50 charges utiles de logiciels malveillants, notamment AMOS, Stealc et Rhadamanthys.
Selon le groupe Insikt d’Recorded Future, qui suit l’opération Marko Polo, la campagne de logiciels malveillants a touché des milliers de personnes, avec des pertes financières potentielles de plusieurs millions.
« Compte tenu de la nature généralisée de la campagne Marko Polo, Insikt Group soupçonne que des dizaines de milliers d’appareils ont probablement été compromis à l’échelle mondiale, exposant des données personnelles et d’entreprise sensibles », prévient Insikt Group d’Recorded Future.
« Cela pose des risques importants pour la vie privée des consommateurs et la continuité des activités. Générant presque certainement des millions de dollars de revenus illicites, cette opération met également en évidence les effets économiques négatifs de ces activités cybercriminelles. »
Définition de pièges de grande valeur
Insikt Group rapporte que Marko Polo s’appuie principalement sur le harponnage via des messages directs sur les plateformes de médias sociaux pour atteindre des cibles de grande valeur telles que les influenceurs de crypto-monnaie, les joueurs, les développeurs de logiciels et d’autres personnes susceptibles de gérer des données ou des actifs précieux.
Les victimes sont incitées à télécharger des logiciels malveillants en interagissant avec ce qu’elles sont amenées à croire être des opportunités d’emploi légitimes ou des collaborations de projets.
Certaines des marques usurpées incluent Fortnite( jeux), Party Icon( jeux), RuneScape( jeux), Rise Online World( jeux), Zoom (productivité) et PeerMe (crypto-monnaie).
Marko Polo utilise également ses propres marques inventées non liées à des projets existants, comme Vortax / Vorion et VDeck (logiciel de réunion), Wasper et PDFUnity (plateformes de collaboration), SpectraRoom (communications cryptographiques) et NightVerse (jeu web3).
Dans certains cas, les victimes sont dirigées vers un site Web pour de fausses applications virtuelles de réunion, de messagerie et de jeu, qui sont utilisées pour installer des logiciels malveillants. D’autres campagnes distribuent le malware via des exécutables (.exe ou .dmg) dans les fichiers torrent.
Frapper à la fois Windows et macOS
La boîte à outils de Marko Polo est diversifiée, montrant la capacité du groupe de menaces à mener des attaques multiplateformes et multi-vecteurs.
Sous Windows, HijackLoader est utilisé pour fournir Stealc, un voleur d’informations léger à usage général conçu pour collecter des données à partir de navigateurs et d’applications de portefeuille cryptographique, ou Rhadamanthys, un voleur plus spécialisé qui cible un large éventail d’applications et de types de données.
Dans une récente mise à jour, Rhadamanthys a ajouté un plugin clipper capable de détourner les paiements en crypto-monnaie vers les portefeuilles des attaquants, la possibilité de récupérer les cookies de compte Google supprimés et l’évasion de Windows Defender.
Lorsque la cible utilise macOS, Marko Polo déploie Atomic (« AMOS »). Ce voleur lancé mi-2023, loué à des cybercriminels pour 1 000/ / mois, leur permettant d’arracher diverses données stockées dans les navigateurs Web.
AMOS peut également forcer brutalement les graines de métamasque et voler les mots de passe du trousseau Apple pour obtenir les mots de passe WiFi, les connexions enregistrées, les données de carte de crédit et d’autres informations cryptées stockées sur macOS.
Les campagnes malveillantes impliquant des logiciels malveillants volant des informations ont connu une croissance massive au fil des ans, les acteurs de la menace ciblant les victimes via des vulnérabilités zero-day, de faux VPN, des correctifs pour les problèmes GitHub et même des réponses sur StackOverflow.
Ces informations d’identification sont ensuite utilisées pour violer les réseaux d’entreprise, mener des campagnes de vol de données comme nous l’avons vu avec les violations massives de comptes SnowFlake et provoquer le chaos en corrompant les informations de routage du réseau.
Pour atténuer le risque de téléchargement et d’exécution de logiciels malveillants infostealer sur votre système, ne suivez pas les liens partagés par des inconnus et téléchargez uniquement des logiciels à partir des sites Web officiels du projet.
Le malware utilisé par Marko Polo est détecté par la plupart des logiciels antivirus à jour, donc l’analyse des fichiers téléchargés avant de les exécuter devrait perturber le processus d’infection avant qu’il ne démarre.