RotBot Malware

تم التعرف على مجموعة يُعتقد أنها نشأت من فيتنام على أنها تستهدف أفرادًا في مختلف دول آسيا وجنوب شرق آسيا ببرامج تهديد تهدف إلى استخراج معلومات قيمة منذ مايو 2023 على الأقل. ويراقب خبراء الأمن السيبراني، المعروف باسم CoralRaider، هذه العملية عن كثب، مشيرين إلى دوافعها المالية. وتشمل النقاط المحورية للحملة الهند والصين وكوريا الجنوبية وبنغلاديش وباكستان وإندونيسيا وفيتنام.

تتخصص نقابة مجرمي الإنترنت هذه في سرقة بيانات الاعتماد والسجلات المالية وملفات تعريف الوسائط الاجتماعية، بما في ذلك الحسابات الشخصية والتجارية. تشتمل ترسانتهم لهذا الهجوم تحديدًا على RotBot، وهو نسخة مخصصة من Quasar RAT وXClient Stealer. بالإضافة إلى ذلك، يقومون بنشر مجموعة من البرامج الضارة الجاهزة للاستخدام، مثل AsyncRAT و NetSupport RAT و Radamanthys ، والتي تهدف إلى الوصول عن بعد وسحب المعلومات من الأنظمة المخترقة.

يهدف مجرمو الإنترنت إلى اختراق المعلومات الحساسة من أهداف محددة

ركز المهاجمون القادمون من فيتنام بشكل كبير على حسابات الأعمال والإعلانات المتسللة، واستخدموا مجموعة متنوعة من عائلات البرامج الضارة السارقة مثل Ducktail و NodeStealer و VietCredCare للسيطرة على هذه الحسابات لتحقيق الدخل لاحقًا.

ويتضمن أسلوب عملهم استخدام Telegram لنقل المعلومات المسروقة من أجهزة الضحايا، والتي يتم تبادلها بعد ذلك في أسواق سرية لتحقيق أرباح غير مشروعة.

تشير الأدلة إلى أن مشغلي CoralRaider موجودون في فيتنام، كما هو موضح من خلال رسائل الممثلين في قنوات روبوتات Telegram Command and Control (C2)، بالإضافة إلى تفضيلهم للغة الفيتنامية في تسمية الروبوتات الخاصة بهم، وسلاسل PDB، و المصطلحات الفيتنامية الأخرى المشفرة ضمن ثنائيات الحمولة الخاصة بها.

توفر سلسلة العدوى متعددة المراحل تهديد البرامج الضارة لـ RotBot

يبدأ تسلسل الهجوم باستخدام ملف اختصار Windows (LNK)، على الرغم من أن طريقة التوزيع على الأهداف لا تزال غير واضحة. عند فتح ملف LNK، يتم تنزيل ملف تطبيق HTML (HTA) وتنفيذه من خادم يتحكم فيه المهاجم، ثم يقوم بعد ذلك بتشغيل برنامج نصي Visual Basic مضمن.

يقوم هذا البرنامج النصي بدوره بفك تشفير ثلاثة نصوص PowerShell إضافية وتنفيذها بشكل تسلسلي مسؤولة عن إجراء فحوصات مكافحة الأجهزة الافتراضية ومكافحة التحليل، وتجاوز التحكم في وصول مستخدم Windows (UAC)، وإلغاء تنشيط Windows وإشعارات التطبيقات، وتنزيل وتنفيذ RotBot.

تم تكوين RotBot للتواصل مع روبوت Telegram، واسترداد وتنفيذ البرامج الضارة التي تسرق XClient في الذاكرة. وهذا يسهل سرقة ملفات تعريف الارتباط وبيانات الاعتماد والمعلومات المالية من متصفحات الويب مثل Brave وCốc Cốc وGoogle Chrome وMicrosoft Edge وMozilla Firefox وOpera، بالإضافة إلى بيانات Discord وTelegram والتقاط لقطات الشاشة.

علاوة على ذلك، تم تصميم XClient لاستخراج البيانات من حسابات الضحايا على Facebook وInstagram وTikTok وYouTube، والحصول على معلومات حول طرق الدفع والأذونات المرتبطة بحساباتهم التجارية والإعلانية على Facebook.

تم تصميم RotBot، وهو نسخة مخصصة من عميل Quasar RAT، وتجميعه خصيصًا لهذه الحملة من قبل جهة التهديد. بالإضافة إلى ذلك، يتميز XClient بقدرات واسعة النطاق لسرقة المعلومات من خلال وحدة البرنامج الإضافي والوظائف المتنوعة لتنفيذ المهام الإدارية عن بعد.

لا يزال سارقو المعلومات يمثلون تهديدًا كبيرًا يستهدف العديد من القطاعات

تستغل حملة إعلانية ضارة على فيسبوك الضجة المحيطة بأدوات الذكاء الاصطناعي التوليدية للترويج للعديد من سارقي المعلومات مثل Rilide و Vidar و IceRAT والتهديد الذي ظهر حديثًا يسمى Nova Stealer.

يبدأ الهجوم باستيلاء جهة التهديد على حساب موجود على Facebook وتغيير مظهره ليشبه أدوات الذكاء الاصطناعي الشهيرة من Google وOpenAI وMidjourney. إنهم يوسعون نفوذهم من خلال تشغيل الإعلانات المدعومة على المنصة.

على سبيل المثال، جمعت صفحة مزيفة تحمل اسم Midjourney 1.2 مليون متابع قبل أن يتم إغلاقها في 8 مارس 2023. وكان الأفراد الذين يقفون وراء هذه الصفحات موجودين بشكل أساسي في فيتنام والولايات المتحدة وإندونيسيا والمملكة المتحدة وأستراليا، من بين دول أخرى.

تستفيد هذه الحملات الإعلانية الضارة من نظام الإعلانات المدعومة من Meta لتحقيق انتشار واسع النطاق، واستهداف المستخدمين الأوروبيين بشكل نشط في دول مثل ألمانيا وبولندا وإيطاليا وفرنسا وبلجيكا وإسبانيا وهولندا ورومانيا والسويد وغيرها.