Sicherheitsforscher von Recorded Future haben eine massive Infostealer-Operation aufgedeckt, die mindestens 30 Kampagnen umfasst und auf eine breit gefächerte Opfergruppe abzielt. Zugeschrieben wird sie einer cyberkriminellen Gruppierung namens Marko Polo. Zum Einsatz kommen dabei unterschiedliche Kanäle, um die Malware zu verbreiten, darunter Malvertising, Spearphishing und Markenimitation bei Online-Spielen, Kryptowährungen und Software. So werden etwa 50 Malware-Payloads, wie AMOS, Stealc und Rhadamanthys verbreitet. Den Sicherheitsforschern zufolge dürfte es tausende Opfer weltweit geben, deren Verluste in die Millionen gehen.
Neben den finanziellen Schäden, die Marko Polo angerichtet hat, wurden offenbar auch sensible Daten erbeutet – von privaten Geräten und aus Unternehmensnetzwerken. Dies birgt erhebliche Risiken für die Privatsphäre der Verbraucher und den Geschäftsbetrieb der betroffenen Unternehmen.
In ihrem Bericht führen die Sicherheitsforscher aus, dass Marko Polo seine Malware in erster Linie über Spearphishing mit Direktnachrichten auf Social-Media-Plattformen verbreitet. So sollen hochrangige Ziele wie Cryptocurrency-Influencer, Gamer, Softwareentwickler und andere Personen erreicht werden, bei denen die Wahrscheinlichkeit hoch ist, dass sie mit wertvollen Daten oder Vermögenswerten umgehen.
Die Opfer werden zum Herunterladen von Schadsoftware verleitet, indem ihnen vorgegaukelt wird, es handele sich um legitime Jobangebote oder Projektkooperationen. Dabei machen sich die Kriminellen den guten Ruf unterschiedlicher Unternehmen zunutze, wie etwa Fortnite oder Party Icon im Gaming-Bereich oder PeerMe im Bereich Kryptowährungen. Auch Zoom wurde bereits imitiert. Außerdem nutzen die Kriminellen ihre eigenen, ausgedachten Marken wie Vortax/Vorion und VDeck (Konferenzsoftware), Wasper und PDFUnity (Plattformen für die Zusammenarbeit), SpectraRoom (Kryptokommunikation) und NightVerse (Web3-Spiel). In einigen Fällen werden die Opfer auf eine Website für gefälschte virtuelle Meeting-, Messaging- und Spieleanwendungen geleitet, die zur Installation von Malware verwendet werden. Andere Kampagnen verbreiten die Malware über ausführbare Dateien (.exe oder .dmg).
Besonders gefährlich ist Marko Polo auch deshalb, weil es sich nicht auf ein Betriebssystem oder eine Zielgruppe spezialisiert hat, sondern deutlich breiter aufgestellt ist als viele andere cyberkriminelle Gruppierungen. Für Windows nutzt Marko Polo beispielsweise HijackLoader zur Auslieferung von Stealc, einem universellen, leichtgewichtigen Infostealer zum Sammeln von Daten aus Browsern und Krypto-Wallet-Apps, oder von Rhadamanthys, einem spezielleren Diebstahlprogramm, das auf eine breite Palette von Anwendungen und Datentypen abzielt. Nutzt das Opfer ein Gerät mit MacOS setzt Marko Polo Atomic („AMOS“) ein. Dieser Mitte 2023 auf den Markt gebrachte Stealer wird für 1.000 US-Dollar pro Monat an Cyberkriminelle vermietet und ermöglicht es ihnen, verschiedene in Webbrowsern gespeicherte Daten abzugreifen, MetaMask-Seeds zu erzwingen und Apple Keychain-Passwörter zu stehlen, um an WiFi-Passwörter, gespeicherte Log-ins, Kreditkartendaten und andere verschlüsselte Informationen, die auf macOS gespeichert sind, zu gelangen.
Kampagnen wie die von Marko Polo haben in den letzten Jahren massiv zugenommen. Die erbeuteten Daten werden verwendet, um in Unternehmensnetzwerke einzudringen, Datendiebstahlkampagnen durchzuführen, wie wir es bei den massiven SnowFlake-Kontoverletzungen gesehen haben, und Chaos zu verursachen, indem Netzwerk-Routing-Informationen beschädigt werden. Um das Risiko zu verringern, selbst zum Opfer einer solchen Kampagne zu werden, sollten Links und Downloads aus unbekannten Quellen vermieden werden. Auch eine aktuelle Antivirensoftware bietet in vielen Fällen Schutz. Bei Marko Polo wird die genutzte Malware beispielsweise in den meisten Fällen erkannt.
Bild (c) Michael Geiger / Unsplash