Programari maliciós RotBot
S'ha identificat que un grup que es creu que prové del Vietnam s'adreça a individus de diverses nacions asiàtiques i del sud-est asiàtic amb programari amenaçador destinat a extreure informació valuosa des d'almenys el maig de 2023. Conegut com a CoralRaider, els experts en ciberseguretat segueixen de prop aquesta operació, assenyalant els seus motius financers. Els punts focals de la campanya inclouen l'Índia, la Xina, Corea del Sud, Bangla Desh, Pakistan, Indonèsia i Vietnam.
Aquest sindicat de cibercriminals s'especialitza en robatori de credencials, registres financers i perfils de xarxes socials, que inclou tant comptes personals com empresarials. El seu arsenal per a aquest assalt en particular inclou RotBot, una versió personalitzada de Quasar RAT i el robatori XClient. A més, despleguen una sèrie de programari maliciós disponible, com ara AsyncRAT , NetSupport RAT i Rhadamanthys , amb l'objectiu d'obtenir accés remot i desviar informació de sistemes compromesos.
Taula de continguts
Els ciberdelinqüents pretenen comprometre la informació sensible d’objectius seleccionats
Els atacants originaris de Vietnam han posat un èmfasi important en la infiltració de comptes comercials i publicitaris, utilitzant una varietat de famílies de programari maliciós lladres com Ducktail , NodeStealer i VietCredCare per prendre el control d'aquests comptes per a la monetització posterior.
El seu modus operandi implica la utilització de Telegram per transmetre la informació robada de les màquines de les víctimes, que després s'intercanvia en mercats clandestins per generar beneficis il·legals.
L'evidència suggereix que els operadors de CoralRaider es troben al Vietnam, tal com indiquen els missatges dels actors als seus canals de bots de comandament i control de Telegram (C2), així com la seva preferència per l'idioma vietnamita per anomenar els seus bots, cadenes PDB i altres termes vietnamites codificats en els seus binaris de càrrega útil.
Una cadena d’infecció en diverses etapes ofereix l’amenaça de programari maliciós RotBot
La seqüència d'atac s'inicia amb un fitxer de drecera de Windows (LNK), tot i que el mètode de distribució als objectius encara no està clar. En obrir el fitxer LNK, es baixa i s'executa un fitxer d'aplicació HTML (HTA) des d'un servidor controlat per l'atacant, i posteriorment s'executa un script de Visual Basic incrustat.
Aquest script, al seu torn, desxifra i executa seqüencialment tres scripts de PowerShell addicionals responsables de dur a terme comprovacions anti-VM i antianàlisi, obviar el control d'accés d'usuari de Windows (UAC), desactivar Windows i les notificacions d'aplicacions i descarregar i executar RotBot.
RotBot està configurat per comunicar-se amb un bot de Telegram, recuperant i executant el programari maliciós XClient stealer a la memòria. Això facilita el robatori de galetes, credencials i informació financera de navegadors web com Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox i Opera, així com dades de Discord i Telegram i captura captures de pantalla.
A més, XClient està dissenyat per extreure dades dels comptes de Facebook, Instagram, TikTok i YouTube de les víctimes, obtenint informació sobre els mètodes de pagament i els permisos associats als seus comptes comercials i publicitaris de Facebook.
RotBot, una variant personalitzada del client Quasar RAT, ha estat dissenyat i compilat específicament per a aquesta campanya per l'actor d'amenaça. A més, XClient compta amb àmplies capacitats de robatori d'informació mitjançant el seu mòdul de complements i diverses funcionalitats per executar tasques administratives remotes.
Els robatoris d’informació segueixen sent una amenaça considerable per a nombrosos sectors
Una campanya de publicitat malintencionada a Facebook està aprofitant l'exageració que envolta les eines d'IA generativa per promoure diversos robatoris d'informació com Rilide, Vidar, IceRAT i una nova amenaça anomenada Nova Stealer.
L'atac comença amb l'actor de l'amenaça prenent el control d'un compte de Facebook existent i alterant-ne l'aspecte per semblar-se a les populars eines d'IA de Google, OpenAI i Midjourney. Amplien la seva influència publicant anuncis patrocinats a la plataforma.
Per exemple, una pàgina falsificada que es feia passar per Midjourney va acumular 1,2 milions de seguidors abans que es tanqués el 8 de març de 2023. Les persones darrere d'aquestes pàgines es trobaven principalment a Vietnam, els EUA, Indonèsia, el Regne Unit i Austràlia, entre altres països.
Aquestes campanyes de publicitat malintencionada aprofiten el sistema d'anuncis patrocinat de Meta per aconseguir una àmplia difusió, orientant-se activament als usuaris europeus de països com Alemanya, Polònia, Itàlia, França, Bèlgica, Espanya, Països Baixos, Romania, Suècia i més enllà.
