जनसांख्यिकी और सिस्टम प्लेटफ़ॉर्म के व्यापक स्पेक्ट्रम पर ध्यान केंद्रित करने वाले तीस अभियानों को शामिल करने वाले एक बड़े इन्फोस्टीलर मैलवेयर ऑपरेशन का खुलासा किया गया है, जिसका श्रेय “मार्को पोलो” नामक एक साइबर अपराधी समूह को दिया जाता है।
ये खतरनाक अभिनेता ऑनलाइन गेमिंग, क्रिप्टोकरेंसी और सॉफ़्टवेयर प्रोग्राम में मालवेयर विज्ञापन, स्पीयरफ़िशिंग और मॉडल प्रतिरूपण सहित कई वितरण चैनलों का उपयोग करते हैं, ताकि 50 मैलवेयर पेलोड को फैलाया जा सके, जिसमें AMOS, Stealc और Rhadamanthys शामिल हैं।
रिकॉर्डेड फ्यूचर के इंसिक्ट ग्रुप के अनुसार, जो मार्को पोलो ऑपरेशन की निगरानी कर रहा है, मैलवेयर मार्केटिंग अभियान ने हजारों लोगों को प्रभावित किया है, जिससे लाखों लोगों का संभावित वित्तीय नुकसान हुआ है।
“मार्को पोलो मार्केटिंग अभियान की व्यापक प्रकृति के आधार पर, इंसिक्ट ग्रुप को संदेह है कि संभवतः वैश्विक स्तर पर दसियों हज़ार इकाइयों से समझौता किया गया है – जिससे संवेदनशील निजी और कॉर्पोरेट डेटा उजागर हुआ है,” रिकॉर्डेड फ्यूचर के इंसिक्ट ग्रुप ने चेतावनी दी।
“यह प्रत्येक ग्राहक की गोपनीयता और उद्यम निरंतरता के लिए महत्वपूर्ण खतरे पैदा करता है। निश्चित रूप से अवैध आय में लाखों डॉलर का उत्पादन करते हुए, यह ऑपरेशन ऐसे साइबर क्रिमिनल कार्यों के हानिकारक वित्तीय परिणामों को भी उजागर करता है।”
मार्को पोलो से जुड़े क्लस्टर और अलग-अलग अभियान
मार्को पोलो से जुड़े क्लस्टर और अलग-अलग अभियान
आपूर्ति: रिकॉर्ड किया गया भविष्य
उच्च-मूल्य वाले जाल बिछाना
इंसिक्ट ग्रुप की समीक्षा है कि मार्को पोलो मुख्य रूप से उच्च-मूल्य वाले लक्ष्यों जैसे कि क्रिप्टोकरेंसी प्रभावित करने वाले, खिलाड़ी, सॉफ़्टवेयर प्रोग्राम बिल्डर और अन्य व्यक्तियों को प्राप्त करने के लिए सोशल मीडिया प्लेटफ़ॉर्म पर सीधे संदेशों के माध्यम से स्पीयरफ़िशिंग पर निर्भर करता है, जो मूल्यवान डेटा या संपत्ति से निपटने के लिए प्रवण हैं।
पीड़ितों को पेशेवर नौकरी के अवसर या मिशन सहयोग के रूप में विश्वास दिलाकर दुर्भावनापूर्ण सॉफ़्टवेयर प्रोग्राम डाउनलोड करने के लिए लुभाया जाता है।
जिन निर्माताओं की नकल की जा सकती है, उनमें Fortnite (गेमिंग), सेलिब्रेशन आइकन (गेमिंग), RuneScape (गेमिंग), Rise On-line World (गेमिंग), Zoom (उत्पादकता), और PeerMe (क्रिप्टोकरेंसी) शामिल हैं।
Marko Polo इसके अलावा अपने खुद के बनाए गए निर्माताओं का उपयोग करता है जो वर्तमान कार्यों से संबंधित नहीं हैं, जैसे Vortax/Vorion और VDeck (असेंबली सॉफ़्टवेयर प्रोग्राम), Wasper और PDFUnity (सहयोग प्लेटफ़ॉर्म), SpectraRoom (क्रिप्टो संचार), और NightVerse (वेब 3 मनोरंजन)।
कुछ मामलों में, पीड़ितों को नकली डिजिटल असेंबली, मैसेजिंग और मनोरंजन कार्यों के लिए एक वेबसाइट पर ले जाया जाता है, जिसका उपयोग मैलवेयर डालने के लिए किया जाता है। विभिन्न अभियान टोरेंट डेटा में निष्पादन योग्य (.exe या .dmg) के माध्यम से मैलवेयर वितरित करते हैं।
नकली उत्पाद को बढ़ावा देने वाली दुर्भावनापूर्ण साइटों में से एक
नकली उत्पाद को बेचने वाली कई दुर्भावनापूर्ण वेबसाइटों में से एक
स्रोत: रिकॉर्डेड फ्यूचर
विंडोज और मैकओएस दोनों को हिट करना
मार्को पोलो का टूलकिट बहुत है, जो खतरे वाले समूह की मल्टी-प्लेटफॉर्म और मल्टी-वेक्टर हमलों को अंजाम देने की क्षमता को दर्शाता है।
विंडोज पर, हाईजैकलोडर का उपयोग स्टील्क को डिलीवर करने के लिए किया जाता है, जो ब्राउज़र और क्रिप्टो वॉलेट ऐप से डेटा इकट्ठा करने के लिए डिज़ाइन किया गया एक सामान्य-उद्देश्य वाला हल्का-फुल्का सूचना-चोरी करने वाला है, या रादामंथिस, एक अधिक विशिष्ट चोर है जो कई तरह के कार्यों और डेटा प्रकारों को लक्षित करता है।
हाल ही में अपडेट में, रादामंथिस ने एक क्लिपर प्लगइन जोड़ा है जो क्रिप्टोक्यूरेंसी फंड को हमलावरों के वॉलेट में डायवर्ट करने में सक्षम है, हटाए गए Google खाते की कुकीज़ को पुनर्प्राप्त करने की सुविधा और विंडोज डिफेंडर से बचने की सुविधा देता है।
जब लक्ष्य macOS का उपयोग करता है, तो मार्को पोलो एटॉमिक (‘AMOS’) को तैनात करता है। यह चोर 2023 के मध्य में लॉन्च किया गया, जिसे साइबर अपराधियों को $1,000/माह के किराए पर दिया गया, जिससे उन्हें इंटरनेट ब्राउज़र में सहेजे गए विभिन्न डेटा को हथियाने की अनुमति मिली।
AMOS मेटामास्क बीजों को भी ब्रूट-फोर्स कर सकता है और वाईफ़ाई पासवर्ड, सहेजे गए लॉगिन, बैंक कार्ड डेटा और macOS पर सहेजे गए अन्य एन्क्रिप्टेड जानकारी के लिए पैसे का भुगतान करने के लिए Apple कीचेन पासवर्ड चुरा सकता है।
मार्को पोलो की संक्रमण श्रृंखला
मार्को पोलो की संक्रमण श्रृंखला
आपूर्ति: रिकॉर्डेड फ्यूचर
सूचना-चोरी करने वाले मैलवेयर से जुड़े दुर्भावनापूर्ण अभियानों ने समय के साथ बड़ी प्रगति देखी है, जिसमें ख़तरनाक अभिनेता शून्य-दिन की कमज़ोरियों, नकली VPN, GitHub समस्याओं के समाधान और यहाँ तक कि StackOverflow पर उत्तरों के माध्यम से पीड़ितों को लक्षित करते हैं।
फिर इन क्रेडेंशियल्स का उपयोग कॉर्पोरेट नेटवर्क में सेंध लगाने, डेटा चोरी अभियान चलाने के लिए किया जाता है जैसा कि हमने बड़े स्नोफ्लेक अकाउंट उल्लंघनों के साथ देखा, और नेटवर्क रूटिंग जानकारी को दूषित करके अराजकता को ट्रिगर किया।
अपने सिस्टम में इन्फोस्टीलर मैलवेयर डाउनलोड करने और चलाने की संभावना को कम करने के लिए, अजनबियों द्वारा साझा किए गए हाइपरलिंक का पालन न करें और केवल आधिकारिक मिशन वेबसाइटों से सॉफ़्टवेयर प्रोग्राम डाउनलोड करें।
मार्को पोलो द्वारा उपयोग किए जाने वाले मैलवेयर का पता नवीनतम एंटीवायरस सॉफ़्टवेयर प्रोग्राम द्वारा लगाया जाता है, इसलिए उन्हें निष्पादित करने से पहले डाउनलोड की गई जानकारी को स्कैन करना संक्रमण प्रक्रिया को शुरू होने से पहले बाधित कर देना चाहिए।
