RotBot Malware
Група, за която се смята, че произхожда от Виетнам, е идентифицирана като насочена към лица в различни азиатски и югоизточноазиатски нации със заплашителен софтуер, насочен към извличане на ценна информация поне от май 2023 г. Известни като CoralRaider, експертите по киберсигурност наблюдават отблизо тази операция, като отбелязват нейните финансови мотиви. Фокусните точки на кампанията включват Индия, Китай, Южна Корея, Бангладеш, Пакистан, Индонезия и Виетнам.
Този киберпрестъпен синдикат е специализиран в кражба на идентификационни данни, финансови записи и профили в социални медии, обхващащи както лични, така и бизнес акаунти. Техният арсенал за това конкретно нападение включва RotBot, персонализирана версия на Quasar RAT и XClient крадец. Освен това те внедряват набор от готов зловреден софтуер, като AsyncRAT , NetSupport RAT и Rhadamanthys , насочен към получаване на отдалечен достъп и извличане на информация от компрометирани системи.
Съдържание
Киберпрестъпниците се стремят да компрометират чувствителна информация от избрани цели
Нападателите, произхождащи от Виетнам, са поставили голям акцент върху проникването в бизнес и рекламни акаунти, използвайки различни фамилии злонамерен софтуер за кражба като Ducktail , NodeStealer и VietCredCare , за да завземат контрола върху тези акаунти за последваща монетизация.
Техният начин на действие включва използването на Telegram за предаване на открадната информация от машините на жертвите, която след това се обменя на нелегални пазари за генериране на незаконни печалби.
Доказателствата сочат, че операторите на CoralRaider се намират във Виетнам, както е посочено от съобщенията от участниците в техните канали за ботове Telegram Command and Control (C2), както и предпочитанията им към виетнамския език при именуване на техните ботове, PDB низове и други виетнамски термини, твърдо кодирани в техните двоични файлове за полезен товар.
Многоетапна верига от заразяване доставя заплахата от зловреден софтуер RotBot
Последователността на атаката започва с файл с пряк път на Windows (LNK), въпреки че методът на разпространение до целите остава неясен. При отваряне на LNK файла се изтегля и изпълнява файл с HTML приложение (HTA) от сървър, контролиран от атакуващия, като впоследствие се изпълнява вграден скрипт на Visual Basic.
Този скрипт от своя страна дешифрира и последователно изпълнява три допълнителни PowerShell скрипта, отговорни за провеждането на анти-VM и анти-анализ проверки, заобикаляне на Windows User Access Control (UAC), деактивиране на Windows и уведомления за приложения и изтегляне и изпълнение на RotBot.
RotBot е конфигуриран да комуникира с бот на Telegram, извличайки и изпълнявайки зловредния софтуер XClient крадец в паметта. Това улеснява кражбата на бисквитки, идентификационни данни и финансова информация от уеб браузъри като Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera, както и данни от Discord и Telegram и заснема екранни снимки.
Освен това XClient е проектиран да извлича данни от акаунтите на жертвите във Facebook, Instagram, TikTok и YouTube, като получава информация за методите на плащане и разрешенията, свързани с техните бизнес и рекламни акаунти във Facebook.
RotBot, персонализиран вариант на клиента Quasar RAT, е пригоден и компилиран специално за тази кампания от заплахата. Освен това XClient може да се похвали с широки възможности за кражба на информация чрез своя плъгин модул и различни функционалности за изпълнение на отдалечени административни задачи.
Крадците на информация остават значителна заплаха, насочена към множество сектори
Кампания за злонамерена реклама във Facebook използва шума около генеративните AI инструменти, за да популяризира различни крадци на информация като Rilide, Vidar, IceRAT и новопоявилата се заплаха, наречена Nova Stealer.
Атаката започва с това, че заплахата завладява контрола върху съществуващ акаунт във Facebook и променя външния му вид, за да прилича на популярни AI инструменти от Google, OpenAI и Midjourney. Те разширяват влиянието си чрез пускане на спонсорирани реклами на платформата.
Например, фалшива страница, представяща се като Midjourney, натрупа 1,2 милиона последователи, преди да бъде затворена на 8 март 2023 г. Лицата зад тези страници се намират предимно във Виетнам, САЩ, Индонезия, Обединеното кралство и Австралия, наред с други страни.
Тези злонамерени кампании използват спонсорираната рекламна система на Meta, за да постигнат широк обхват, активно насочени към европейски потребители в страни като Германия, Полша, Италия, Франция, Белгия, Испания, Холандия, Румъния, Швеция и извън тях.
