Marko Polo menjarah dunia dengan phising, namun Marcopolo yang satu ini bukanlah petualang terkenal yang berkelana ke berbagai pelosok dunia, melainkan kelompok penjahat siber berbahaya.
Marko Polo diketahui telah menjalankan operasi malware infostealer besar-besaran yang mencakup tiga puluh operasi yang menargetkan spektrum demografi dan platform sistem yang luas.
Para pelaku ancaman menggunakan berbagai saluran distribusi seperti dengan:
- Malvertising.
- Spearphishing.
- Peniruan merek dalam permainan daring, mata uang kripto, dan perangkat lunak,
Yang tujuannya adalah untuk menyebarkan 50 muatan malware, termasuk AMOS, Stealc, dan Rhadamanthys.
Menurut para peneliti keamanan yang telah melacak operasi Marko Polo, operasi malware tersebut telah memengaruhi ribuan orang, dengan potensi kerugian finansial hingga jutaan.
Berdasarkan sifat operasi Marko Polo yang meluas, para penelti menduga bahwa kemungkinan puluhan ribu perangkat telah disusupi secara global, yang mengekspos data pribadi dan perusahaan yang sensitif.
Sehingga hal ini menimbulkan risiko signifikan terhadap privasi konsumen dan kelangsungan bisnis. Hampir pasti menghasilkan jutaan dolar dalam pendapatan gelap, operasi ini juga menyoroti dampak ekonomi negatif dari aktivitas penjahat dunia maya tersebut.
Baca juga: APT28 Menyebar Phising Secara Global |
Memasang Jebakan
Marko Polo biasanya mengandalkan spearphishing melalui pesan langsung di platform media sosial untuk menjangkau target bernilai tinggi seperti:
- Influencer mata uang kripto.
- Gamer.
- Pengembang perangkat lunak.
- Orang yang menangani data atau aset berharga.
Korban dibujuk untuk mengunduh software berbahaya dengan berinteraksi dengan apa yang mereka yakini sebagai peluang kerja yang sah atau kolaborasi proyek.
Beberapa merek yang ditiru diantaranya:
- Fortnite (permainan).
- Party Icon (permainan).
- RuneScape (permainan).
- Rise Online World (permainan).
- Zoom (produktivitas).
- PeerMe (mata uang kripto).
Marko Polo juga menggunakan merek buatannya sendiri yang tidak terkait dengan proyek yang ada, seperti Vortax/Vorion dan VDeck (perangkat lunak rapat), Wasper dan PDFUnity (platform kolaborasi), SpectraRoom (komunikasi kripto), dan NightVerse (permainan web3).
Dalam beberapa kasus, korban diarahkan ke situs web untuk aplikasi rapat virtual, pengiriman pesan, dan permainan palsu, yang digunakan untuk memasang malware. Kampanye lain mendistribusikan malware melalui file yang dapat dieksekusi (.exe atau .dmg) dalam file torrent.
Baca juga: Forensik Digital Memecahkan Masalah SIber |
Menyerang Windows dan macOS
Perangkat Marko Polo cukup beragam, menunjukkan kemampuan kelompok ancaman tersebut untuk melakukan serangan multi platform dan multi vektor.
Di Windows, HijackLoader digunakan untuk mengirimkan Stealc, pencuri info ringan serbaguna yang dirancang untuk mengumpulkan data dari browser.
Dan aplikasi dompet kripto, atau Rhadamanthys, pencuri yang lebih terspesialisasi yang menargetkan berbagai aplikasi dan tipe data.
Dalam pembaruan terkini, Rhadamanthys menambahkan plugin clipper yang mampu mengalihkan pembayaran mata uang kripto ke dompet penyerang, kemampuan untuk memulihkan cookie Akun Google yang dihapus, dan penghindaran Windows Defender.
Saat target menggunakan macOS, Marko Polo menggunakan Atomic (‘AMOS’). Alat untuk pencurian ini diluncurkan pada pertengahan tahun 2023.
Disewakan kepada penjahat dunia maya seharga $1.000/bulan, yang memungkinkan mereka untuk mengambil berbagai data yang disimpan di browser web.
AMOS juga dapat melakukan brute-force pada seed MetaMask dan mencuri kata sandi Apple Keychain untuk mendapatkan kata sandi WiFi, login tersimpan, data kartu kredit, dan informasi terenkripsi lainnya yang tersimpan di macOS.
Baca juga: Tautan Phising dan Fitur Pelacakan |
Peningkatan Ancaman
Operasi jahat yang melibatkan malware pencuri informasi telah mengalami pertumbuhan besar selama bertahun-tahun, dengan pelaku ancaman menargetkan korban melalui kerentanan zero-day, VPN palsu, perbaikan masalah GitHub, dan bahkan jawaban di StackOverflow.
Kredensial ini kemudian digunakan untuk membobol jaringan perusahaan, melakukan operasi pencurian data seperti yang kita lihat pada pelanggaran akun SnowFlake besar-besaran, dan menyebabkan kekacauan dengan merusak informasi perutean jaringan.
Untuk mengurangi risiko mengunduh dan menjalankan malware infostealer di sistem Anda, jangan ikuti tautan yang dibagikan oleh orang asing dan hanya unduh perangkat lunak dari situs web proyek resmi.
Malware yang digunakan oleh Marko Polo terdeteksi oleh sebagian besar perangkat lunak antivirus terkini, jadi memindai file yang diunduh sebelum menjalankannya akan mengganggu proses infeksi sebelum dimulai.
Demikian informasi mengenai Marko Polo menjarah dunia dengan phising, semoga informasi tentang kejahatan siber tersebut dapat bermanfaat.
Sumber berita: