Marko Polo convirtió Zoom en una trampa para gamers e influenciadores de criptomonedas

Investigadores de la empresa Recorded Future descubrieron un ciberataque a gran escala que afectó a decenas de miles de dispositivos en todo el mundo. Como se descubrió más tarde, detrás de esta campaña está el grupo de hackers Marko Polo, especializado en fraudes relacionados con criptomonedas y juegos en línea.

Expertos del Insikt Group, una división de Recorded Future, revelaron que los principales objetivos de los atacantes son gamers populares, influenciadores de criptomonedas y especialistas en TI. Es probable que los hackers seleccionen a sus víctimas con base en si están dispuestas a sufrir pérdidas financieras significativas en caso de un ataque exitoso.

Marko Polo opera con un esquema bien practicado: los miembros del grupo contactan a posibles víctimas a través de redes sociales, haciéndose pasar por empleados del departamento de recursos humanos o reclutadores. Ofrecen puestos de trabajo atractivos y redirigen a las víctimas a sitios maliciosos, donde descargan software infectado.

Los investigadores describen a Marko Polo como un "equipo de redireccionamiento de tráfico" con motivación financiera. El grupo está formado por participantes que hablan ruso, ucraniano e inglés, y se cree que los líderes y principales operadores están basados en países postsoviéticos.

Durante la investigación, Insikt Group descubrió más de 30 esquemas fraudulentos diferentes en redes sociales vinculados a Marko Polo. Además, los hackers comprometieron más de 20 versiones de software para videoconferencias en Zoom. Estas versiones maliciosas se distribuyen a través de phishing dirigido en redes sociales, disfrazadas como clientes legítimos, pero en realidad contienen el troyano Atomic macOS Stealer (AMOS).

Además de los ataques mediante versiones falsas de Zoom, Marko Polo se dedica a hackear software comercial e inyectar código malicioso en archivos distribuidos a través del protocolo BitTorrent. El grupo se disfraza como varios proyectos de blockchain, juegos en línea, aplicaciones de oficina y herramientas para videoconferencias.

Una de las campañas fraudulentas más grandes ha sido denominada PartyWorld. En este esquema, los atacantes imitan juegos populares como Fortnite y Party Icon, promocionándolos a través de redes sociales. Los usuarios que visitan el sitio de PartyWorld reciben la oferta de descargar el cliente del juego para Windows o macOS. Sin embargo, en lugar de un juego, se instala un infostealer en el dispositivo.

Otra campaña, llamada Nortex, utiliza como fachada un mensajero, una aplicación de oficina y una red social al mismo tiempo. Los hackers crearon una copia falsa del proyecto Web3 SendingMe, a través del cual, en lugar de las funciones prometidas, las víctimas reciben los troyanos HijackLoader y Stealc.

Según estimaciones de los investigadores, los ataques de Marko Polo ya han provocado la filtración de datos personales y corporativos confidenciales de muchos usuarios. Se estima que los ingresos ilegales del grupo ascienden a millones de dólares. Los expertos de Insikt Group encontraron informes de víctimas que perdieron todos sus ahorros debido a las acciones de los hackers.

Marko Polo es particularmente peligroso debido a su capacidad para adaptarse rápidamente a los intentos de detección. El grupo cambia regularmente los nombres de sus esquemas fraudulentos, actualiza su infraestructura y modifica sus tácticas para evadir las medidas de protección. Los expertos señalan que su flexibilidad no solo convierte a Marko Polo en una amenaza permanente, sino que también indica que el grupo seguirá mejorando sus métodos para mantenerse un paso por delante de los sistemas de ciberseguridad.