Marko Polo превратила Zoom в капкан для геймеров и криптоинфлюенсеров

Исследователи компании Recorded Future обнаружили масштабную кибератаку, затронувшую десятки тысяч устройств по всему миру. Как выяснилось позже, за этой кампанией стоит хакерская группировка Marko Polo, специализирующаяся на мошенничестве в сфере криптовалют и онлайн-игр.

Эксперты из Insikt Group, подразделения Recorded Future, выяснили, что основными целями злоумышленников стали популярные геймеры, криптовалютные инфлюенсеры и IT-специалисты. Вероятно, хакеры сразу выбирают цель исходя из того, готова ли она понести значительные финансовые потери в случае успешной атаки.

Marko Polo действует по отработанной схеме: члены группировки связываются с потенциальными жертвами через социальные сети, представляясь сотрудниками отдела кадров или рекрутерами. Они предлагают привлекательные вакансии и направляют жертв на вредоносные сайты, где те скачивают зараженное программное обеспечение.

Исследователи характеризуют Marko Polo как "команду по перенаправлению трафика" с финансовой мотивацией. Группировка состоит из русско-, украинско- и англоговорящих участников, причем руководство и основные операторы, вероятно, базируются на территории постсоветских стран.

В ходе расследования Insikt Group обнаружила более 30 различных мошеннических схем в социальных сетях, связанных с Marko Polo. Кроме того, хакеры скомпрометировали свыше 20 сборок программного обеспечения для проведения видеоконференций в Zoom. Эти вредоносные версии распространяются через целевой фишинг в соцсетях, маскируясь под легитимные клиенты, но на самом деле содержат троян Atomic macOS Stealer (AMOS).

Помимо атак через поддельные версии Zoom, Marko Polo занимается взломом коммерческого ПО и внедрением вредоносного кода в файлы, распространяемые через протокол BitTorrent. Группировка маскируется под различные блокчейн-проекты, онлайн-игры, офисные приложения и инструменты для видеоконференций.

Одна из наиболее масштабных мошеннических кампаний получила название PartyWorld. В рамках этой схемы злоумышленники имитируют популярные игры вроде Fortnite и Party Icon, продвигая их через социальные сети. Пользователи, посетившие сайт PartyWorld, получают предложение скачать клиент игры для Windows или macOS. На самом деле, вместо игры на устройство устанавливается инфостилер.

Другая кампания под названием Nortex в качестве прикрытия использует мессенджер, офисное приложение и социальную сеть одновременно. Хакеры создали поддельную копию Web3-проекта SendingMe, через которую вместо обещанного функционала жертвы получают трояны HijackLoader и Stealc.

По оценкам исследователей, атаки Marko Polo уже привели к утечке конфиденциальных личных и корпоративных данных многих пользователей. Предполагается, что нелегальный доход группировки исчисляется миллионами долларов. Эксперты Insikt Group обнаружили сообщения от жертв, которые лишились всех своих сбережений в результате действий хакеров.

Marko Polo особенно опасен из-за своей способности быстро адаптироваться к попыткам обнаружения. Группировка регулярно меняет названия мошеннических схем, обновляет инфраструктуру и модифицирует тактику для обхода средств защиты. Эксперты отмечают: их гибкость не только делает Marko Polo перманентной угрозой, но и указывает на то, что группировка дальше продолжит совершенствовать свои методы, чтобы оставаться на шаг впереди систем кибербезопасности.