Marko Polo – Infostealer-Malware auf tausenden Geräten weltweit entdeckt
Neben den finanziellen Schäden, die Marko Polo angerichtet hat, wurden offenbar auch sensible Daten erbeutet – von privaten Geräten und aus Unternehmensnetzwerken. Dies birgt erhebliche Risiken für die Privatsphäre der Verbraucher und den Geschäftsbetrieb der betroffenen Unternehmen.
In ihrem Bericht führen die Sicherheitsforscher aus, dass Marko Polo seine Malware in erster Linie über Spearphishing mit Direktnachrichten auf Social-Media-Plattformen verbreitet. So sollen hochrangige Ziele wie Cryptocurrency-Influencer, Gamer, Softwareentwickler und andere Personen erreicht werden, bei denen die Wahrscheinlichkeit hoch ist, dass sie mit wertvollen Daten oder Vermögenswerten umgehen.
Die Opfer werden zum Herunterladen von Schadsoftware verleitet, indem ihnen vorgegaukelt wird, es handele sich um legitime Jobangebote oder Projektkooperationen. Dabei machen sich die Kriminellen den guten Ruf unterschiedlicher Unternehmen zunutze, wie etwa Fortnite oder Party Icon im Gaming-Bereich oder PeerMe im Bereich Kryptowährungen. Auch Zoom wurde bereits imitiert. Außerdem nutzen die Kriminellen ihre eigenen, ausgedachten Marken wie Vortax/Vorion und VDeck (Konferenzsoftware), Wasper und PDFUnity (Plattformen für die Zusammenarbeit), SpectraRoom (Kryptokommunikation) und NightVerse (Web3-Spiel). In einigen Fällen werden die Opfer auf eine Website für gefälschte virtuelle Meeting-, Messaging- und Spieleanwendungen geleitet, die zur Installation von Malware verwendet werden. Andere Kampagnen verbreiten die Malware über ausführbare Dateien (.exe oder .dmg).
Besonders gefährlich ist Marko Polo auch deshalb, weil es sich nicht auf ein Betriebssystem oder eine Zielgruppe spezialisiert hat, sondern deutlich breiter aufgestellt ist als viele andere cyberkriminelle Gruppierungen. Für Windows nutzt Marko Polo beispielsweise HijackLoader zur Auslieferung von Stealc, einem universellen, leichtgewichtigen Infostealer zum Sammeln von Daten aus Browsern und Krypto-Wallet-Apps, oder von Rhadamanthys, einem spezielleren Diebstahlprogramm, das auf eine breite Palette von Anwendungen und Datentypen abzielt. Nutzt das Opfer ein Gerät mit MacOS setzt Marko Polo Atomic („AMOS“) ein. Dieser Mitte 2023 auf den Markt gebrachte Stealer wird für 1.000 US-Dollar pro Monat an Cyberkriminelle vermietet und ermöglicht es ihnen, verschiedene in Webbrowsern gespeicherte Daten abzugreifen, MetaMask-Seeds zu erzwingen und Apple Keychain-Passwörter zu stehlen, um an WiFi-Passwörter, gespeicherte Log-ins, Kreditkartendaten und andere verschlüsselte Informationen, die auf macOS gespeichert sind, zu gelangen.
Kampagnen wie die von Marko Polo haben in den letzten Jahren massiv zugenommen. Die erbeuteten Daten werden verwendet, um in Unternehmensnetzwerke einzudringen, Datendiebstahlkampagnen durchzuführen, wie wir es bei den massiven SnowFlake-Kontoverletzungen gesehen haben, und Chaos zu verursachen, indem Netzwerk-Routing-Informationen beschädigt werden. Um das Risiko zu verringern, selbst zum Opfer einer solchen Kampagne zu werden, sollten Links und Downloads aus unbekannten Quellen vermieden werden. Auch eine aktuelle Antivirensoftware bietet in vielen Fällen Schutz. Bei Marko Polo wird die genutzte Malware beispielsweise in den meisten Fällen erkannt.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de