Otuz kampanyayı kapsayan büyük bir bilgi çalan zararlı yazılım operasyonu, çeşitli demografik grupları ve sistem platformlarını hedef alarak ortaya çıkarıldı ve “Marko Polo” adlı bir siber suç grubuna atfedildi.
Tehdit aktörleri, AMOS, Stealc ve Rhadamanthys dahil olmak üzere 50 zararlı yazılım yükünü yaymak için kötü amaçlı reklamcılık, hedefli phishing ve çevrimiçi oyunlar, kripto para ve yazılımda marka taklidi gibi çeşitli dağıtım kanallarını kullanıyor.
Marko Polo operasyonunu izleyen Recorded Future’ın Insikt Grubu’na göre, zararlı yazılım kampanyası binlerce kişiyi etkiledi ve potansiyel mali kayıplar milyonlarca dolara ulaşabilir.
Recorded Future’ın Insikt Grubu şu uyarıda bulunuyor: “Marko Polo kampanyasının yaygın doğası göz önüne alındığında, muhtemelen dünya genelinde on binlerce cihazın tehlikeye atıldığını ve hassas kişisel ile kurumsal verilerin açığa çıktığını düşünüyoruz.”
“Bu durum, hem tüketici gizliliği hem de işletme sürekliliği için önemli riskler oluşturmaktadır. Neredeyse kesinlikle milyonlarca dolar yasadışı gelir yaratan bu operasyon, aynı zamanda bu tür siber suç faaliyetlerinin olumsuz ekonomik etkilerini de vurgulamaktadır.”
Kaynak: Recorded Future
Marko Polo, Yüksek Değerli Hedeflere Spear Phishing ile Ulaşıyor
Insikt Group, Marko Polo’nun sosyal medya platformlarında doğrudan mesajlaşma yoluyla kripto para etkileyicileri, oyuncular, yazılım geliştiricileri gibi yüksek değerli hedeflere spear phishing saldırıları düzenlediğini bildiriyor.
Kurbanlar, meşru iş fırsatları veya proje iş birlikleri olduğuna inanarak zararlı yazılım indirmeye teşvik ediliyor. Taklit edilen markalar arasında Fortnite, Party Icon, RuneScape, Rise Online World, Zoom ve PeerMe bulunuyor.
Marko Polo ayrıca Vortax/Vorion, VDeck, Wasper, PDFUnity, SpectraRoom ve NightVerse gibi hayali markalar kullanıyor. Kurbanlar sahte web sitelerine yönlendiriliyor veya zararlı yazılım torrent dosyaları aracılığıyla dağıtılıyor.
Sahte Ürün Tanıtan Zararlı Sitelerden Biri
Kaynak: Recorded Future
Windows ve macOS’u Hedef Alıyor
Marko Polo’nun Çok Platformlu ve Çok Vektörlü Saldırı Kapasitesi
Marko Polo’nun araç seti, çok platformlu ve çok vektörlü saldırılar gerçekleştirme yeteneğini gösterir.
Windows üzerinde, genel amaçlı hafif bir bilgi çalan olan Stealc’ı veya çeşitli uygulama ve veri türlerini hedefleyen Rhadamanthys’i teslim etmek için HijackLoader kullanılır. Son güncellemede, Rhadamanthys kripto para ödemelerini saldırganların cüzdanlarına yönlendirebilen bir clipper eklentisi, silinmiş Google Hesabı çerezlerini kurtarma ve Windows Defender’ı atlama yetenekleri ekledi.
macOS kullanan hedeflere karşı, 2023 ortasında piyasaya sürülen Atomic (AMOS) kullanılır. AMOS, siber suçlulara aylık $1,000 karşılığında kiralanarak web tarayıcılarında saklanan verileri çalmasına imkan tanır. Ayrıca MetaMask şifrelerini kırabilir ve Apple Keychain parolalarını ele geçirerek WiFi parolaları, kayıtlı girişler, kredi kartı verileri ve diğer şifreli bilgileri çalabilir.
Marko Polo’nun Enfeksiyon Zinciri
Source: Recorded Future
Haber Kaynağı: Global infostealer malware operation targets crypto users, gamers (bleepingcomputer.com)
