Malware RotBot
Skupina, o které se předpokládá, že pochází z Vietnamu, byla identifikována jako cílící na jednotlivce v různých asijských a jihovýchodních asijských zemích pomocí hrozivého softwaru zaměřeného na získávání cenných informací minimálně od května 2023. Známí jako CoralRaider, experti na kybernetickou bezpečnost tuto operaci pečlivě sledují a všímají si jejích finančních motivů. Mezi hlavní body kampaně patří Indie, Čína, Jižní Korea, Bangladéš, Pákistán, Indonésie a Vietnam.
Tento kyberzločinecký syndikát se specializuje na krádeže přihlašovacích údajů, finančních záznamů a profilů na sociálních sítích, včetně osobních i firemních účtů. Jejich arzenál pro tento konkrétní útok zahrnuje RotBot, upravenou verzi Quasar RAT a XClient stealer. Kromě toho nasazují řadu běžně dostupných malwarů, jako jsou AsyncRAT , NetSupport RAT a Rhadamanthys , jejichž cílem je získat vzdálený přístup a vysát informace z kompromitovaných systémů.
Obsah
Kyberzločinci se snaží kompromitovat citlivé informace z vybraných cílů
Útočníci pocházející z Vietnamu kladou značný důraz na infiltraci obchodních a reklamních účtů a využívají různé rodiny zlodějského malwaru, jako jsou Ducktail , NodeStealer a VietCredCare , aby se zmocnili kontroly nad těmito účty pro následné monetizace.
Jejich modus operandi zahrnuje využití telegramu k přenosu ukradených informací ze strojů obětí, které se pak vyměňují na tajných trzích za účelem vytváření nezákonných zisků.
Důkazy naznačují, že operátoři CoralRaider se nacházejí ve Vietnamu, jak naznačují zprávy od aktérů v jejich kanálech pro roboty Telegram Command and Control (C2), stejně jako jejich preference pro vietnamský jazyk při pojmenovávání svých botů, řetězců PDB a další vietnamské výrazy pevně zakódované v jejich binárních souborech užitečného zatížení.
Vícestupňový infekční řetězec přináší hrozbu malwaru RotBot
Sekvence útoku se zahájí pomocí souboru zkratky Windows (LNK), ačkoli způsob distribuce k cílům zůstává nejasný. Po otevření souboru LNK se stáhne a spustí soubor aplikace HTML (HTA) ze serveru ovládaného útočníkem a následně se spustí vložený skript jazyka Visual Basic.
Tento skript zase dešifruje a postupně spouští tři další skripty PowerShellu zodpovědné za provádění anti-VM a antianalytických kontrol, obcházení Windows User Access Control (UAC), deaktivaci Windows a upozornění aplikací a stahování a spouštění RotBot.
RotBot je nakonfigurován tak, aby komunikoval s telegramovým robotem, načítal a spouštěl malware zloděje XClient v paměti. To usnadňuje krádež souborů cookie, přihlašovacích údajů a finančních informací z webových prohlížečů, jako jsou Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox a Opera, stejně jako data Discord a Telegram a pořizuje snímky obrazovky.
Kromě toho je XClient navržen tak, aby extrahoval data z účtů obětí na Facebooku, Instagramu, TikTok a YouTube a získával informace o platebních metodách a oprávněních spojených s jejich obchodními a reklamními účty na Facebooku.
RotBot, přizpůsobená varianta klienta Quasar RAT, byla přizpůsobena a sestavena speciálně pro tuto kampaň aktérem hrozby. XClient se navíc může pochlubit rozsáhlými možnostmi krádeže informací prostřednictvím modulu zásuvných modulů a různých funkcí pro provádění vzdálených administrativních úloh.
Infozrádci zůstávají značnou hrozbou zaměřenou na četná odvětví
Malinzertní kampaň na Facebooku využívá humbuk kolem generativních nástrojů umělé inteligence k propagaci různých zlodějů informací, jako jsou Rilide, Vidar, IceRAT a nově vzniklé hrozby zvané Nova Stealer.
Útok začíná tím, že se aktér hrozby zmocní kontroly nad existujícím účtem na Facebooku a změní jeho vzhled tak, aby připomínal oblíbené nástroje AI od Googlu, OpenAI a Midjourney. Svůj vliv rozšiřují provozováním sponzorovaných reklam na platformě.
Například padělaná stránka vydávající se za Midjourney nashromáždila 1,2 milionu sledujících, než byla 8. března 2023 uzavřena. Osoby za těmito stránkami se mimo jiné nacházely především ve Vietnamu, USA, Indonésii, Spojeném království a Austrálii.
Tyto inzertní kampaně využívají sponzorovaný reklamní systém Meta k dosažení rozsáhlého dosahu a aktivně cílí na evropské uživatele v zemích, jako je Německo, Polsko, Itálie, Francie, Belgie, Španělsko, Nizozemsko, Rumunsko, Švédsko a další.
