Marko Polo è il nome del gruppo responsabile di oltre 30 attacchi globali individuati dai ricercatori di Recorded Future. I cybercriminali hanno utilizzato vari canali di distribuzione e colpito numerosi utenti con almeno 50 infostealer differenti. Lo scopo è ottenere profitti illeciti tramite truffe o furto di criptovalute.
Un arsenale di infostealer
Il principale metodo usato dai cybercriminali è lo spear phishing. Utilizzando i messaggi diretti dei social media, Marko Polo contatta “bersagli di alto valore”, come crypto influencer, sviluppatori e gamer. Le vittime vengono ingannate perché credono di essere in contatto con dipendenti di noti brand, tra cui Fortnite, Party Icon, RuneScape, Rise Online World, Zoom e PeerMe.
I cybercriminali offrono finte opportunità di lavoro o progetti di collaborazione, chiedendo di scaricare e installare software da alcuni siti o tramite torrent. In realtà di tratta di infostealer per Windows e macOS. Su Windows vengono ad esempio installati Stealc e Rhadamanthys per rubare numerosi dati da app, browser e wallet di criptovalute.
Su macOS viene invece installato Atomic Stealer. Questo malware può prelevare diversi dati dal browser, effettuare attacchi di forza bruta contro MetaMask e rubare le password conservate in Apple Keychain. Le informazioni raccolte vengono successivamente messe in vendita sui forum del dark web.
Secondo gli esperti di Recorded Future, i malware sono stati installati su migliaia di dispositivi nel mondo e i guadagni illeciti sono milioni di dollari. Per evitare rischi è meglio non rispondere ai messaggi ricevuti sui social media e scaricare i software solo dai siti ufficiali. Quasi tutte le soluzioni di sicurezza possono rilevare e bloccare gli infostealer elencati nel report.