هدف قرار گرفتن کاربران رمزارز توسط گروه هکری مارکوپولو

به گزارش کارگروه حملات سایبری سایبربان؛ محققان اعلام کردند که یک گروه جرایم سایبری پرکار به نام مارکوپولو (Marko Polo) ده‌ها هزار دستگاه را در سراسر جهان از طریق کلاهبرداری‌های مربوط به ارزهای دیجیتال و بازی به خطر انداخته است.

به گفته گروه «Insikt» متعلق به «Recorded Future»، این گروه در درجه اول شخصیت‌های بازی آنلاین، تأثیرگذاران ارزهای دیجیتال و متخصصان فناوری را هدف قرار می‌دهد؛ هدف‌های با ارزشی که در صورت ابتلا به این کلاهبرداری در خطر متحمل شدن ضررهای مالی قابل توجهی هستند.

هکرها در رسانه‌های اجتماعی به قربانیان بالقوه نزدیک می‌شوند و اغلب خود را به عنوان نمایندگان منابع انسانی یا جذب استعداد نشان می‌دهند. به گفته محققان، آنها اهداف را با فرصت‌های شغلی جعلی فریب می‌دهند و آنها را به وب‌سایت‌های مخرب هدایت می‌کنند تا نرم افزارهای مخرب را دانلود کنند.

مارکوپولو به عنوان یک تیم ترافیک با انگیزه مالی توصیف شده، گروهی از افراد سازمان یافته که ترافیک آنلاین قربانیان را به سمت محتوای مخرب هدایت می‌کنند که توسط سایر عوامل تهدید اداره می‌شود. این گروه عمدتاً متشکل از افراد روسی، اوکراینی و انگلیسی زبان هستند و مدیران و اپراتورها احتمالاً در کشورهای پس از شوروی مستقر هستند.

گروه Insikt ادعا کرد که بیش از 30 کلاهبرداری مجزا در رسانه‌های اجتماعی منتسب به مارکوپولو، همراه با بیش از 20 نسخه نرم‌افزار جلسه زوم (Zoom) به خطر افتاده را کشف کرده است. این بیلدها از طریق اسپیرفیشینگ در رسانه‌های اجتماعی توزیع می‌شوند و به عنوان مشتریان ملاقات زوم برای گسترش بدافزار سارق «macOS» اتمی (AMOS) ظاهر می‌شوند. نصب‌کننده‌های مخرب زوم نام‌هایی شبیه به موارد قانونی دارند (ZoomInstall.dmg، ZoomSetup.dmg)، اما در واقع از دامنه‌های مرتبط با گروه مارکوپولو سرچشمه می‌گیرند.

گروه Insikt گفت که سایر عملیات‌های این گروه شامل کرک کردن نرم‌افزارهای تجاری و مسمومیت فایل‌های به اشتراک گذاشته شده از طریق پروتکل «BitTorrent» بوده است.

به عنوان بخشی از این کلاهبرداری‌ها، هکرها جعل پروژه‌های مبتنی بر بلاک‌چین، بازی‌های آنلاین، نرم‌افزارهای بهره‌وری و ابزارهای جلسات مجازی هستند. علاوه بر Atomic macOS Stealer، آنها طیف وسیعی از گونه های بدافزار از جمله «HijackLoader»، «Stealc» و «Rhadamanthys» را ارائه داده‌اند.

یک کلاهبرداری موسوم به « PartyWorld»، جعل بازی‌های قانونی مانند «Fortnite» و «Party Icon» است و از طریق رسانه‌های اجتماعی تبلیغ می‌شود. از کاربرانی که از وب‌سایت «PartyWorld» بازدید می‌کنند، خواسته می‌شود که کلاینت را برای ویندوز یا macOS دانلود کنند که یکی از انواع بدافزار سرقت اطلاعات را نصب می‌کند.

کلاهبرداری دیگری که نورتِکس (Nortex) نام دارد، به عنوان یک سرویس پیام‌رسان، نرم‌افزار بهره‌وری و شبکه اجتماعی ظاهر می‌شود و جعل هویت پروژه قانونی «Web3 SendingMe»، یک برنامه پیام‌رسان است. با این حال، نورتِکس هیچ یک از این کارها را انجام نمی‌دهد. در عوض، پس از نصب، قربانیان را با بدافزار HijackLoader و Stealc آلوده می‌کند.

گروه Insikt مدعی شد که کمپین‌های مارکوپولو احتمالاً اطلاعات شخصی و شرکتی حساس قربانیان خود را افشا و میلیون‌ها دلار درآمد غیرقانونی ایجاد کرده است. محققان گزارش‌های کلاهبرداری را شناسایی کردند که نشان می‌داد اپراتورهای مارکوپولو پس‌انداز جان قربانیان را دزدیده‌اند.

این گزارش خاطرنشان کرد که گروه هکری به سرعت به تلاش‌های شناسایی پاسخ می‌دهد، مرتباً کلاهبرداری‌های خود را تغییر نام و نام‌گذاری و زیرساخت میزبانی را به‌روزرسانی می‌کند و تاکتیک‌ها را برای فرار از بررسی تغییر می‌دهد.

محققان توضیح دادند :

«این سازگاری نه تنها مارکو پولو را به یک تهدید دائمی تبدیل می‌کند، بلکه نشان می‌دهد که احتمالاً روش‌های خود را برای جلوتر از دفاع امنیت سایبری توسعه خواهد داد.»