Η Insikt Group, η υπηρεσία πληροφοριών απειλών του παρόχου κυβερνοασφάλειας Recorded Future, έχει παρατηρήσει μια ευρέως διαδεδομένη κακόβουλη εκστρατεία που στοχεύει χρήστες κρυπτονομισμάτων και περιλαμβάνει το Vortax, ένα ψεύτικο λογισμικό εικονικών συναντήσεων.
Το Vortax έχει παρουσία στα μέσα κοινωνικής δικτύωσης και διατίθεται στην αγορά ως εναλλακτική λύση για επιχειρήσεις με επίκεντρο τις διασταυρούμενες πλατφόρμες και το πρόγραμμα περιήγησης, σε σχέση με άλλες υπηρεσίες βιντεοσυνομιλίας, η οποία αξιοποιεί την τεχνητή νοημοσύνη για τη δημιουργία περιλήψεων συνεδριάσεων και στοιχείων δράσης και προτείνει ερωτήσεις ή σχόλια με το προϊόν “MeetingGPT”.
Διατηρεί ένα ιστολόγιο στο Medium (medium[.]com/@vortax) με περίπου 22 ύποπτα άρθρα που έχουν δημιουργηθεί με τεχνητή νοημοσύνη και δημοσιεύθηκαν μεταξύ 7 και 16 Δεκεμβρίου 2023. Στο X (πρώην Twitter), ο λογαριασμός Vortax έχει ακόμη και ένα χρυσό τικ, που σημαίνει ότι χαρακτηρίζεται ως “Επαληθευμένος Οργανισμός”.
Ωστόσο, μόλις εγκατασταθεί, ο Vortax παραδίδει τρεις κλέφτες πληροφοριών (infostealers) σε επιθέσεις σε πολλαπλές πλατφόρμες (Rhadamanthys, Stealc και Atomic macOS Stealer, ή AMOS) σε μια εκτεταμένη εκστρατεία με στόχο την κλοπή κρυπτονομισμάτων.
Ο τρίτος infostealer, ο AMOS, έχει ιδιαίτερη σημασία για τους ερευνητές επειδή είναι μια σπάνια εμφάνιση ενός infostealer macOS, ο οποίος είναι λιγότερο συνηθισμένος από τους αντίστοιχους των Windows.
Αύξηση των infostealers του macOS
Κατά την περαιτέρω διερεύνηση της εφαρμογής Vortax, του δικτύου των συνδεδεμένων λογαριασμών της και του κακόβουλου λογισμικού που ανέπτυξε, η Insikt Group εντόπισε άλλες 23 κακόβουλες εφαρμογές macOS που μεταμφιέζονται ως νόμιμες. Οι περισσότερες από αυτές στόχευαν λογισμικό εικονικών συναντήσεων και χρήστες κρυπτονομισμάτων.
Οι ερευνητές της Insikt Group εντόπισαν επίσης συνδέσεις μεταξύ της εκστρατείας Vortax και μιας προηγούμενης εκστρατείας infostealer που στόχευε έργα παιχνιδιών web3.
“Με βάση αυτά τα ευρήματα, είμαστε βέβαιοι ότι οι δύο εκστρατείες συνδέονται με τον ίδιο δράστη απειλής – που είχε προηγουμένως εντοπιστεί από την Insikt Group ως χρήστης του AMOS UserID ‘markopolo'”, έγραψαν οι ερευνητές.
“Αυτή η κλιμακούμενη καμπάνια είναι πιθανότατα ενδεικτική μιας εκτεταμένης επιχείρησης συλλογής διαπιστευτηρίων, η οποία θα μπορούσε να υπονοεί ότι ο markopolo ενεργεί ως αρχικός μεσίτης πρόσβασης (IAB) ή “πωλητής καταγραφής” σε ένα κατάστημα dark web, όπως το Russian Market ή το 2easy Shop- ωστόσο, δεν έχουμε στοιχεία για να κάνουμε αυτή την εκτίμηση, μέχρι τη στιγμή που γράφονται αυτές οι γραμμές”.
Στην προηγούμενη έκθεση, η Insikt Group παρατήρησε επίσης ότι οι αναφορές σε κακόβουλο λογισμικό macOS και exploit kits αυξήθηκαν κατά 79% μεταξύ 2022 και 2023 – μια τάση που πιθανότατα επιταχύνεται από την αυξημένη χρήση του infostealer AMOS.
“Δεδομένης της στενά συνδεδεμένης κοινότητάς του, εκτιμούμε ότι άλλοι χειριστές του AMOS πιθανότατα θα διαμορφώσουν μελλοντικές εκστρατείες μετά την επιτυχία του markopolo. Αυτό μπορεί να οδηγήσει σε ευρύτερη διάδοση του AMOS στη φύση, συνοδευόμενη από ποικίλες και ευρείας κλίμακας εκστρατείες που αποδίδονται σε μεμονωμένους φορείς απειλών, επιδεινώνοντας τη μακροπρόθεσμη απειλή ενός λιγότερο ασφαλούς τοπίου για τους χρήστες του macOS”, κατέληξαν οι ερευνητές.