Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Группировка Marko Polo использует Zoom для распространения поддельного ПО

18/09/24

zoom-phishing

Исследователи компании Recorded Future обнаружили масштабную кибератаку, затронувшую десятки тысяч устройств по всему миру. Как выяснилось позже, за этой кампанией стоит хакерская группировка Marko Polo, специализирующаяся на мошенничестве в сфере криптовалют и онлайн-игр.

Эксперты из Insikt Group, подразделения Recorded Future, выяснили, что основными целями злоумышленников стали популярные игроки, криптовалютные рекламщики и IT-работники. Вероятно, хакеры сразу выбирают цель исходя из того, готова ли она понести значительные финансовые потери в случае успешной атаки, пишут в Securitylab.

Marko Polo действует по отработанной схеме: члены группировки связываются с потенциальными жертвами через социальные сети, представляясь сотрудниками отдела кадров. Они предлагают привлекательные вакансии и направляют жертв на вредоносные сайты, где те скачивают зараженное программное обеспечение.

Исследователи характеризуют Marko Polo как "команду по перенаправлению трафика" с финансовой мотивацией. Группировка состоит из русско-, украинско- и англоговорящих участников, причем руководство и основные операторы, вероятно, базируются на территории постсоветских стран.

В ходе расследования Insikt Group обнаружила более 30 различных мошеннических схем в социальных сетях, связанных с Marko Polo. Кроме того, хакеры скомпрометировали свыше 20 сборок программного обеспечения для проведения видеоконференций в Zoom. Эти вредоносные версии распространяются через целевой фишинг в соцсетях, маскируясь под легитимные клиенты, но на самом деле содержат троян Atomic macOS Stealer (AMOS).

Помимо атак через поддельные версии Zoom, Marko Polo занимается взломом коммерческого ПО и внедрением вредоносного кода в файлы, распространяемые через протокол BitTorrent. Группировка маскируется под различные блокчейн-проекты, онлайн-игры, офисные приложения и инструменты для видеоконференций.

Одна из наиболее масштабных мошеннических кампаний получила название PartyWorld. В рамках этой схемы злоумышленники имитируют популярные игры вроде Fortnite и Party Icon, продвигая их через социальные сети. Пользователи, посетившие сайт PartyWorld, получают предложение скачать клиент игры для Windows или macOS. На самом деле, вместо игры на устройство устанавливается инфостилер.

Другая кампания под названием Nortex в качестве прикрытия использует мессенджер, офисное приложение и социальную сеть одновременно. Хакеры создали поддельную копию Web3-проекта SendingMe, через которую вместо обещанного функционала жертвы получают трояны HijackLoader и Stealc.

По оценкам исследователей, атаки Marko Polo уже привели к утечке конфиденциальных личных и корпоративных данных многих пользователей. Предполагается, что нелегальный доход группировки исчисляется миллионами долларов. Эксперты Insikt Group обнаружили сообщения от жертв, которые лишились всех своих сбережений в результате действий хакеров.

Темы:УгрозыМошенничествоZoomRecorded Futureпиратское ПО
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...