Die Reisen von „markopolo“: Die selbsternannte Meeting-Software Vortax verbreitet Infostealer und enthüllt ein ausgedehntes Netzwerk bösartiger macOS-Anwendungen

Die Insikt Group von Recorded Future hat festgestellt, dass Vortax, eine angebliche Software für virtuelle Meetings, drei Infostealer verbreitet: Rhadamanthys, Stealc und Atomic macOS Stealer (AMOS). Diese umfangreiche Kampagne zielt auf Benutzer von Kryptowährungen ab und nutzt Schwachstellen in macOS aus. Diese vom Bedrohungsakteur „Markopolo“ betriebene Kampagne hat erhebliche Auswirkungen auf die Sicherheit von macOS und deutet auf eine mögliche Zunahme von AMOS-Angriffen hin.

Die Reisen von „markopolo“: Die selbsternannte Meeting-Software Vortax verbreitet Infostealer und enthüllt ein ausgedehntes Netzwerk bösartiger macOS-Anwendungen

Beim Überwachen von Daten in Recorded Future Malware Intelligence hat die Insikt Group von Recorded Future eine groß angelegte Cyberangriffskampagne entdeckt, an deren Ende Vortax stand, eine angebliche Software für virtuelle Meetings. Nach dem Herunterladen und Installieren liefert Vortax drei potente Informationsdiebe: Rhadamanthys, Stealc und Atomic macOS Stealer (AMOS). Diese Kampagne, die sich in erster Linie an Benutzer von Kryptowährungen richtet, markiert einen deutlichen Anstieg der Sicherheitsbedrohungen für macOS und deckt ein ausgedehntes Netzwerk bösartiger Anwendungen auf.

Wichtige Erkenntnisse

• Vortax und die zugehörigen Anwendungen wurden in umfangreichen Kampagnen zum Diebstahl von Kryptowährungen eingesetzt, was erhebliche Auswirkungen auf macOS-Benutzer hatte. Die Kampagne steht in Verbindung mit einer zuvor gemeldeten Kampagne, die auf Web3-Gaming abzielte, was darauf schließen lässt, dass hinter beiden derselbe Bedrohungsakteur („Markopolo“) steckt.
• Markopolo nutzt Shared Hosting und C2-Infrastruktur für Agilität und kann schnell auf neue Betrugsmaschen reagieren, wenn diese erkannt werden.
• Die Kampagne deutet auf einen groß angelegten Vorgang zum Abgreifen von Anmeldeinformationen hin, bei dem sich markopolo möglicherweise als Erstzugangsbroker oder „Log-Vendor“ in Darknet-Shops wie Russian Market oder 2easy Shop positioniert.

Gegenmaßnahmen

• Stellen Sie sicher, dass die Erkennungssysteme für AMOS regelmäßig aktualisiert werden, um Infektionen zu verhindern.
• Informieren Sie Benutzer über die Risiken beim Herunterladen nicht genehmigter Software, insbesondere aus sozialen Medien oder Suchmaschinen.
• Implementieren Sie strenge Sicherheitskontrollen, um den Download nicht lizenzierter Software zu verhindern.
• Ermutigen Sie Benutzer, verdächtige Aktivitäten in sozialen Medien und auf anderen Plattformen zu melden.
• Recorded Future-Kunden können Recorded Future Malware Intelligence verwenden, um Bedrohungen durch bösartige macOS-Anwendungen zu identifizieren und einzudämmen, indem sie Verbindungen zur AMOS C2-Infrastruktur analysieren. In Kombination mit Recorded Future Network Intelligence hilft es bei der Identifizierung bösartiger Domänen und IP-Adressen, die mit AMOS-Builds in Zusammenhang stehen.
• Die Überwachung von Technologie-Stacks durch benutzerdefinierte Beobachtungslisten in Recorded Future Intelligence Cloud, Threat Map, Vulnerability Intelligence und Attack Surface Intelligence verbessert die Transparenz bei Bedrohungen durch Infostealer.
• Darüber hinaus bieten Recorded Future Identity Intelligence und Brand Intelligence Einblicke in kompromittierte Anmeldeinformationen aus AMOS-Infostealer-Protokollen, Datenbankverletzungen und Combo-Listen.

Diese Kampagne demonstriert die Anpassungsfähigkeit und Skalierbarkeit moderner Cyber-Bedrohungen. Angesichts der steigenden Nachfrage nach macOS-Malware müssen Unternehmen ihre Wahrnehmung der macOS-Sicherheit ändern und robuste Abwehrstrategien übernehmen. Die Überwachung und Eindämmung solcher Bedrohungen wird für die Aufrechterhaltung einer sicheren digitalen Umgebung von entscheidender Bedeutung sein.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.