U napadima se lažni softver za virtuelne sastanke pod nazivom Vortax, ali i 23 druge aplikacije, koriste kao kanal za isporuku malvera Rhadamanthys, StealC i Atomic macOS Stealer (AMOS), upozorila je kompanija za sajber bezbednost Insikt Group.
Ključni aspekt ove operacije je pokušaj da se Vortax na društvenim medijima i internetu predstavi kao legitimni softver, i zbog toga napadač održava namjenski blog Medium prepun članaka za koje se sumnja da su generisani vještačkom inteligencijom, ali i verifikovani nalog na Iksu.
Preuzimanje aplikacije zahtijeva od žrtava da obezbijede RoomID, jedinstveni identifikator pozivnice za sastanak koji se prenosi putem odgovora na Vortax nalogu, direktnih poruka i Discord i Telegram kanala koji su u vezi kriptovaluta.
Kada žrtva unese neophodan ID na Vortax veb sajt, preusmjerava se na Dropbox link ili eksterni veb sajt koji pokreće instalacioni program za softver, što na kraju dovodi do instalacije malvera.
– Onaj ko vodi ovu kampanju, identifikovan kao “markopolo”, koristi dijeljeni hosting i C2 infrastrukturu – kažu istraživači.
Ovo ukazuje da se napadač brzo povlači kada se otkrije prevara, i okreće drugim mamcima.
Neimenovana osoba izgubila je navodno 245.000 dolara nakon što je postala žrtva Vortax prevare, objavio je na Iksu istraživač ZachXBT.
– Ubrzo nakon preuzimanja Vortaxa, kripto imovina žrtve je prebačena iz njenih novčanika. Sredstva su zatim prenijeta preko više posredničkih adresa i deponovana na berze – rekao je on, piše Informacija.rs.