一个以数千人为目标的信息窃取团伙

Recorded Future 的研究人员发现了一次影响全球数万台设备的大规模网络攻击。后来透露，该活动是由黑客组织 Marko Polo 精心策划的，该组织专门从事加密货币欺诈和在线游戏诈骗。

Recorded Future 旗下部门 Insikt Group 的专家发现，攻击者的主要目标是知名游戏玩家、加密货币影响者和 IT 专业人士。黑客可能会根据受害者在攻击成功时遭受重大经济损失的能力来选择目标。

Marko Polo 通过一个行之有效的计划运作：该组织的成员通过社交媒体联系潜在受害者，冒充人力资源人员或招聘人员。它们提供诱人的工作机会，并将受害者引导至恶意网站，并在不知不觉中下载受感染的软件。

研究人员将 Marko Polo 描述为受经济动机驱动的“淘金者团队”。该小组由讲俄语、乌克兰语和英语的成员组成，领导层和主要操作员可能位于后苏联国家。

在调查过程中，Insikt Group 在与 Marko Polo 相关的社交媒体上发现了 30 多种不同的欺诈计划。此外，黑客还入侵了 20 多个用于 Zoom 视频会议的软件版本。这些恶意版本通过社交网络上的定向网络钓鱼进行分发，伪装成合法客户端，但包含 Atomic macOS Stealer （AMOS） 木马。

除了通过虚假 Zoom 版本进行攻击外，Marko Polo 还参与黑客攻击商业软件并将恶意代码注入通过 BitTorrent 协议分发的文件中。该集团将自己伪装成各种区块链项目、在线游戏、办公应用程序和视频会议工具。

最广泛的欺诈活动之一被称为 PartyWorld。在这个计划中，攻击者模仿 Fortnite 和 Party Icon 等流行游戏，通过社交媒体进行推广。系统会提示访问 PartyWorld 站点的用户下载适用于 Windows 或 macOS 的游戏客户端。实际上，设备上安装的不是游戏，而是信息窃取程序。

另一个名为 Nortex 的活动使用信使、办公应用程序和社交网络作为掩护。黑客创建了 Web3 项目 SendingMe 的虚假版本，通过该项目，受害者收到的不是承诺的功能，而是 HijackLoader 和 Stealc 木马。

据研究人员称，Marko Polo 攻击已经导致大量用户泄露了机密的个人和公司数据。据估计，该集团的非法收益达数百万美元。Insikt Group 发现了受害者的报告，这些受害者因黑客活动而失去了所有积蓄。

Marko Polo 特别危险，因为它能够快速适应侦查工作。该组织定期更改其欺诈计划的名称，更新其基础设施，并修改其策略以绕过安全措施。专家指出，这种灵活性不仅使 Marko Polo 成为持续威胁，而且还表明该集团将继续改进其方法，以领先于网络安全系统一步。