一个名为Marko Polo的网络犯罪集团利用信息窃取恶意软件瞄准币圈参与者

一个名为“Marko Polo（马可波罗）”的网络犯罪集团被发现发起了一项大规模的信息窃取恶意软件行动，该行动涵盖了 30 项针对广泛目标的攻击活动。

攻击者使用各种分发渠道，包括恶意广告、鱼叉式网络钓鱼和在线游戏、加密货币和软件中的假冒软件，来传播 50 种恶意软件负载，包括 AMOS、Stealc 和 Rhadamanthys。

据追踪 Marko Polo 行动的 Recorded Future 旗下 Insikt Group 警告：“基于 Marko Polo 的攻击活动目标广泛，全球可能有数万台设备遭到入侵，从而暴露了敏感的个人和公司数据。”

与 Marko Polo 相关的集群和不同活动

设置高价值陷阱

Marko Polo 主要依靠社交媒体平台上的直接消息进行鱼叉式网络钓鱼，以接触高价值目标，例如币圈有影响的参与者、币圈游戏玩家、软件开发人员以及其他可能处理有价值数据或资产的人。

受害者被诱导与那些他们相信是合法的工作机会或项目合作的东西进行互动，从而下载恶意软件。

被冒充的品牌包括 Fortnite、Party Icon、RuneScape、Rise Online World、Zoom和PeerMe。

Marko Polo 还使用与现有项目无关的自创品牌，如 Vortax/Vorion 和 VDeck（会议软件）、Wasper 和 PDFUnity（协作平台）、SpectraRoom（加密通信）和 NightVerse（web3 游戏）。

在某些情况下，受害者会被引导至虚假的虚拟会议、消息传递和游戏应用程序网站，这些应用程序用于安装恶意软件。其他活动则通过 torrent 文件中的可执行文件（.exe 或 .dmg）分发恶意软件。

其中一个推广假冒产品的恶意网站，来源：Recorded Future

同时支持 Windows 和macOS

Marko Polo 的工具包多种多样，显示出该组织具有开展多平台和多载体攻击的能力。

在 Windows 上，HijackLoader 用于提供Stealc（一种通用的轻量级信息窃取程序，旨在从浏览器和加密钱包应用程序收集数据）或Rhadamanthys（一种更专业的窃取程序，针对广泛的应用程序和数据类型）。

在最近的更新中，Rhadamanthys 添加了一个剪辑插件，该插件能够将加密货币支付转移到攻击者的钱包，并能够恢复已删除的 Google 帐户 cookie，以及逃避 Windows Defender。

当目标使用 macOS 时，Marko Polo 会部署Atomic（“AMOS”）。这款窃取软件于 2023 年中期推出，以每月 1,000 美元的价格租给网络犯罪分子，允许他们窃取存储在网络浏览器中的各种数据。

AMOS 还可以暴力破解 MetaMask 种子并窃取 Apple Keychain 密码，以获取 WiFi 密码、保存的登录信息、信用卡数据以及存储在 macOS 上的其他加密信息。

Marko Polo 的感染链，来源：Recorded Future

为了降低在系统上下载和运行信息窃取恶意软件的风险，请不要点击陌生人分享的链接，只从官方项目网站下载软件。

Marko Polo 使用的恶意软件可以被大多数最新的防病毒软件检测到，建议在执行下载的文件之前对其安全扫描。

技术报告下载：

https://www.recordedfuture.com/research/marko-polo-navigates-uncharted-waters-with-infostealer-empire

链接：

https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/

讲述普通人能听懂的安全故事