Insikt Group, el servicio de inteligencia de amenazas del proveedor de ciberseguridad Recorded Future, ha observado una campaña maliciosa generalizada dirigida a usuarios de criptomonedas e involucrando a Vortax, un software de reuniones virtuales falso. Vortax tiene presencia en las redes sociales y se comercializa como una alternativa empresarial multiplataforma y en el navegador a otros servicios de video chat que aprovecha la inteligencia artificial para generar resúmenes de reuniones y elementos de acción y sugerir preguntas o comentarios con su producto “MeetingGPT”. . Mantiene un blog mediano (medio[.]com/@vortax) con aproximadamente 22 artículos sospechosos generados por IA publicados entre el 7 y el 16 de diciembre de 2023. En X (anteriormente Twitter), la cuenta de Vortax incluso tiene una marca dorada, lo que significa que está designada como una «Organización verificada». Sin embargo, una vez instalado, Vortax ofrece tres ladrones de información (infostealers) en ataques multiplataforma (Rhadamanthys, Stealc y Atomic macOS Stealer, o AMOS) en una extensa campaña dirigida al robo de criptomonedas. El tercer ladrón de información, AMOS, es de particular importancia para los investigadores porque es poco común que se produzca un ladrón de información en macOS, que es menos común que sus homólogos de Windows. Aumento de los ladrones de información de macOS Tras una investigación más exhaustiva de la aplicación Vortax, su red de cuentas asociadas y el malware que implementó, Insikt Group identificó otras 23 aplicaciones maliciosas de macOS que se hacían pasar por legítimas. La mayoría de ellos estaban dirigidos a usuarios de software de reuniones virtuales y criptomonedas. Los investigadores del Grupo Insikt también identificaron conexiones entre la campaña Vortax y una campaña anterior de robo de información dirigida a proyectos de juegos web3. «Con base en estos hallazgos, estamos seguros de que las dos campañas están afiliadas al mismo actor de amenazas, previamente identificado por Insikt Group por usar el ID de usuario de AMOS ‘markopolo'», escribieron los investigadores. “Esta campaña a escala probablemente sea indicativa de una operación generalizada de recolección de credenciales, lo que podría implicar que Markopolo actúa como corredor de acceso inicial (IAB) o ‘vendedor de registros’ en una tienda de la web oscura, como Russian Market o 2easy Shop; sin embargo, al momento de escribir este artículo no tenemos evidencia para hacer esa evaluación”. En el informe anterior, Insikt Group también observó que las menciones de malware y kits de exploits para macOS aumentaron un 79 % entre 2022 y 2023, una tendencia probablemente acelerada por el mayor uso del ladrón de información AMOS. “Dada su comunidad unida, estimamos que otros operadores de AMOS probablemente modelarán campañas futuras después del éxito de markopolo. Esto puede resultar en una proliferación más amplia de AMOS en la naturaleza, acompañada de campañas diversas y de amplio alcance atribuidas a actores de amenazas individuales, exacerbando la amenaza a largo plazo de un panorama menos seguro para los usuarios de macOS”, concluyeron los investigadores. Recomendaciones de mitigación En su nuevo informe de Insikt Group, Recorded Future compartió una lista de medidas que ayudarían a mitigar la campaña Vortax y las amenazas asociadas. Estos incluyen: Garantizar que los sistemas de detección de AMOS se actualicen periódicamente para prevenir infecciones Educar a los usuarios sobre los riesgos de descargar software no aprobado, especialmente de redes sociales o motores de búsqueda Implementar controles de seguridad estrictos para evitar la descarga de software sin licencia Alentar a los usuarios a informar sobre actividades sospechosas encontradas en redes sociales y otras plataformas