Группировка Marko Polo использует Zoom для распространения поддельного ПО

Исследователи компанииRecorded Futureобнаружили масштабную кибератаку, затронувшую десятки тысяч устройств по всему миру. Как выяснилось позже, за этой кампанией стоит хакерская группировка Marko Polo, специализирующаяся на мошенничестве в сфере криптовалют и онлайн-игр.

Эксперты изInsikt Group, подразделения Recorded Future, выяснили, что основными целями злоумышленников стали популярные игроки, криптовалютные рекламщики и IT-работники. Вероятно, хакеры сразу выбирают цель исходя из того, готова ли она понести значительные финансовые потери в случае успешной атаки, пишут в Securitylab.

Marko Polo действует по отработанной схеме: члены группировки связываются с потенциальными жертвами через социальные сети, представляясь сотрудниками отдела кадров. Они предлагают привлекательные вакансии и направляют жертв на вредоносные сайты, где те скачивают зараженное программное обеспечение.

Исследователи характеризуют Marko Polo как "команду по перенаправлению трафика" с финансовой мотивацией. Группировка состоит из русско-, украинско- и англоговорящих участников, причем руководство и основные операторы, вероятно, базируются на территории постсоветских стран.

В ходе расследования Insikt Group обнаружила более 30 различных мошеннических схем в социальных сетях, связанных с Marko Polo. Кроме того, хакеры скомпрометировали свыше 20 сборок программного обеспечения для проведения видеоконференций в Zoom. Эти вредоносные версии распространяются через целевойфишингв соцсетях, маскируясь под легитимные клиенты, но на самом деле содержат троян Atomic macOS Stealer (AMOS).

Помимо атак через поддельные версии Zoom, Marko Polo занимается взломом коммерческого ПО и внедрением вредоносного кода в файлы, распространяемые через протокол BitTorrent. Группировка маскируется под различные блокчейн-проекты, онлайн-игры, офисные приложения и инструменты для видеоконференций.

Одна из наиболее масштабных мошеннических кампаний получила название PartyWorld. В рамках этой схемы злоумышленники имитируют популярные игры вроде Fortnite и Party Icon, продвигая их через социальные сети. Пользователи, посетившие сайт PartyWorld, получают предложение скачать клиент игры для Windows или macOS. На самом деле, вместо игры на устройство устанавливается инфостилер.

Другая кампания под названием Nortex в качестве прикрытия использует мессенджер, офисное приложение и социальную сеть одновременно. Хакеры создали поддельную копию Web3-проекта SendingMe, через которую вместо обещанного функционала жертвы получают трояны HijackLoader и Stealc.

По оценкам исследователей, атаки Marko Polo уже привели к утечке конфиденциальных личных и корпоративных данных многих пользователей. Предполагается, что нелегальный доход группировки исчисляется миллионами долларов. Эксперты Insikt Group обнаружили сообщения от жертв, которые лишились всех своих сбережений в результате действий хакеров.