Recorded FutureのInsikt Groupによると、”Markopolo”と呼ばれる脅威アクターが偽の仮想会議ソフトウェア「Vortax」を通じて、特にmacOSプラットフォームを狙った暗号通貨の盗難を目的とした情報窃取キャンペーンを展開している。Vortaxは、Rhadamanthys、Stealc、Atomicという3種類の情報窃取マルウェアを配布するための仕組みである。このキャンペーンは、ソーシャルメディアやTelegramチャネルを通じて暗号通貨ユーザーをターゲットにし、彼らの資格情報を盗み出すことを目的としている。
Vortaxは、様々なプラットフォーム向けの仮想会議ソフトウェアとして宣伝されているが、実際には存在しない。攻撃者は、説得力のあるオンラインブランドを構築し、検索エンジンやソーシャルメディアプラットフォームでVortaxを宣伝している。しかし、Vortaxに関連するウェブサイトは、綴りや文法の誤りが多く、詐欺であることが明らかにされている。
Vortaxのインストーラーは、実際にはRhadamanthysとStealcをWindowsプラットフォームに、AtomicスティーラーをmacOSプラットフォームに配布するためのものである。ユーザーにはVortaxがインストールされないように見えるが、実際にはバックグラウンドで多くの悪意のあるプロセスが実行されている。
Insikt Groupは、macOSを狙ったこのキャンペーンに対する対策として、Atomic情報窃取マルウェアの検出システムを定期的に更新し、不正なソフトウェアのダウンロードリスクについてユーザーを教育し、厳格なセキュリティコントロールを実施することを推奨している。また、悪意のあるドメインやIPアドレスをスキャンするインテリジェンスと監視プラットフォームの使用も感染を防ぐのに役立つとしている。
【ニュース解説】
最近、Recorded FutureのInsikt Groupによって発見されたキャンペーンでは、「Markopolo」と呼ばれる脅威アクターが偽の仮想会議ソフトウェア「Vortax」を通じて、特にmacOSを対象とした暗号通貨の盗難を目的とした情報窃取活動を行っています。このソフトウェアは、Rhadamanthys、Stealc、Atomicという3種類の情報窃取マルウェアを配布するための仕組みとして機能しています。
Vortaxは、様々なプラットフォーム向けの仮想会議ソフトウェアとして宣伝されていますが、実際にはそのようなソフトウェアは存在せず、ソーシャルメディアや検索エンジンを通じて広く宣伝されているにもかかわらず、詐欺であることが明らかにされています。攻撃者は、説得力のあるオンラインブランドを構築し、偽のウェブサイトやソーシャルメディアアカウントを通じてこの偽ソフトウェアを宣伝しています。
このキャンペーンの目的は、ソーシャルメディアやTelegramチャネルを通じて暗号通貨ユーザーをターゲットにし、彼らの資格情報を盗み出すことです。そして、その情報を利用して暗号通貨を盗むことが目的とされています。Vortaxのインストーラーをダウンロードすると、ユーザーにはソフトウェアがインストールされないように見えますが、実際にはバックグラウンドで悪意のあるプロセスが多数実行されています。
このようなキャンペーンに対抗するために、Insikt Groupはいくつかの対策を提案しています。特にmacOSを狙った攻撃が増加しているため、Atomic情報窃取マルウェアの検出システムを定期的に更新すること、不正なソフトウェアのダウンロードリスクについてユーザーを教育すること、厳格なセキュリティコントロールを実施することが推奨されています。また、悪意のあるドメインやIPアドレスをスキャンするインテリジェンスと監視プラットフォームの使用も、感染を防ぐのに役立つとされています。
このキャンペーンは、macOSを対象とした情報窃取マルウェアの増加という傾向を示しており、macOSユーザーもセキュリティに対する警戒を強める必要があることを示しています。また、偽のソフトウェアやブランドを通じた情報窃取活動は、ユーザーがソフトウェアをダウンロードする際により慎重になることの重要性を強調しています。
from 'Vortax' Meeting Software Builds Elaborate Branding, Spreads Infostealers.
