Recientemente se ha descubierto una operación de gran envergadura dirigida por el grupo cibercriminal conocido como «Marko Polo», responsable de una serie de ataques de malware que afectan tanto a usuarios individuales como a empresas. Esta campaña ha sido detalladamente investigada por el Insikt Group de Recorded Future, quien ha documentado cómo este grupo ha lanzado al menos treinta campañas diferentes, abarcando múltiples plataformas y grupos demográficos. Entre los objetivos más afectados se encuentran los entornos de videojuegos, criptomonedas y software de colaboración en línea.
Estrategias de distribución y cargas útiles
Los actores de amenazas de Marko Polo utilizan una variedad de técnicas para distribuir sus ataques, destacando el uso de malvertising (publicidad maliciosa), spearphishing (suplantación dirigida), y la suplantación de marcas reconocidas. Algunas de las marcas más comúnmente imitadas incluyen Fortnite, Zoom, y PeerMe en criptomonedas, entre otras. De manera preocupante, también han desarrollado marcas ficticias, como Vortax, Wasper, y SpectraRoom, para enmascarar aplicaciones fraudulentas que descargan malware a los dispositivos de las víctimas.
El arsenal de malware de Marko Polo incluye una vasta variedad de cargas útiles, como el Stealc y Rhadamanthys, ambos diseñados para robar datos confidenciales, como contraseñas almacenadas en navegadores o información de carteras de criptomonedas. Además, este grupo ha implementado en macOS el malware Atomic (AMOS), que puede acceder a contraseñas almacenadas en el Apple Keychain y atacar billeteras de criptomonedas.
Ataques dirigidos a dispositivos multiplataforma
La operación de Marko Polo no discrimina entre sistemas operativos: afecta tanto a Windows como a macOS, demostrando su capacidad para realizar ataques multiplataforma. En sistemas Windows, utilizan un cargador de malware llamado HijackLoader para propagar Stealc y Rhadamanthys. Este último es un malware especializado que no solo roba datos, sino que incluye capacidades avanzadas como la manipulación de pagos de criptomonedas y la evasión de programas antivirus, incluido Windows Defender.
En dispositivos macOS, el ladrón de información Atomic ha ganado notoriedad desde su aparición a mediados de 2023. Alquilar este malware cuesta aproximadamente $1,000 al mes, lo que permite a otros actores cibercriminales utilizarlo para acceder a datos confidenciales, incluyendo las credenciales de MetaMask y otras aplicaciones críticas para el manejo de criptomonedas.
Impacto global y riesgos para usuarios y empresas
Según el informe del Insikt Group, el impacto de las campañas de Marko Polo es global, afectando a decenas de miles de dispositivos y exponiendo datos personales y corporativos. Las víctimas son atraídas a través de mensajes falsos sobre oportunidades laborales o colaboraciones en proyectos que involucran software malicioso. Una vez comprometido el dispositivo, los cibercriminales tienen acceso a contraseñas, cookies, y otros datos personales que luego son utilizados para violar redes corporativas o incluso corromper información esencial.
Las pérdidas potenciales para los usuarios pueden ser devastadoras, tanto en términos financieros como en el robo de datos sensibles. Se estima que los ingresos ilícitos generados por este grupo cibercriminal pueden llegar a millones de dólares, subrayando los graves efectos económicos y sociales de este tipo de actividades.
Medidas de protección y mitigación
Para reducir el riesgo de ser víctima de esta operación de malware, los expertos recomiendan seguir ciertas medidas de seguridad esenciales:
- Evitar hacer clic en enlaces compartidos por personas desconocidas, especialmente en redes sociales.
- Descargar software únicamente desde sitios oficiales y evitar las versiones compartidas en torrents o plataformas de terceros.
- Mantener siempre los programas antivirus actualizados y realizar escaneos regulares de archivos descargados antes de ejecutarlos.
Si bien las campañas de malware han evolucionado para volverse más sofisticadas y difíciles de detectar, las medidas de protección cibernética, como las recomendadas por el Insikt Group, son clave para prevenir el acceso no autorizado y proteger los datos sensibles de usuarios y empresas.
Conclusión
La operación cibercriminal de Marko Polo es un recordatorio alarmante de los crecientes riesgos en el mundo digital. Su capacidad para ejecutar ataques dirigidos y multivectoriales demuestra el ingenio y la organización de los actores de amenazas modernos. Los usuarios y las empresas deben mantenerse vigilantes, actualizar regularmente sus medidas de seguridad, y educarse sobre las tácticas utilizadas por estos cibercriminales para evitar convertirse en víctimas de estas sofisticadas campañas de malware.
