RotBot Malware
En gruppe, der menes at stamme fra Vietnam, er blevet identificeret som målrettet mod enkeltpersoner på tværs af forskellige asiatiske og sydøstasiatiske nationer med truende software, der sigter mod at udtrække værdifuld information siden mindst maj 2023. Kendt som CoralRaider, cybersikkerhedseksperter overvåger denne operation nøje og noterer dens økonomiske motiver. Kampagnens fokuspunkter omfatter Indien, Kina, Sydkorea, Bangladesh, Pakistan, Indonesien og Vietnam.
Dette cyberkriminelle syndikat har specialiseret sig i at stjæle legitimationsoplysninger, økonomiske optegnelser og profiler på sociale medier, der omfatter både personlige og forretningsmæssige konti. Deres arsenal for dette særlige angreb inkluderer RotBot, en tilpasset version af Quasar RAT og XClient-tyveren. Derudover implementerer de en række off-the-shelf malware, såsom AsyncRAT , NetSupport RAT og Rhadamanthys , der sigter mod at få fjernadgang og suge information fra kompromitterede systemer.
Indholdsfortegnelse
Cyberkriminelle sigter mod at kompromittere følsomme oplysninger fra udvalgte mål
Angribere, der stammer fra Vietnam, har lagt en betydelig vægt på at infiltrere forretnings- og reklamekonti og har brugt en række forskellige tyvere-malware-familier såsom Ducktail , NodeStealer og VietCredCare til at overtage kontrollen over disse konti til efterfølgende indtægtsgenerering.
Deres modus operandi involverer brugen af Telegram til at overføre den stjålne information fra ofrenes maskiner, som derefter udveksles på hemmelige markeder for at generere ulovlig fortjeneste.
Beviser tyder på, at operatørerne af CoralRaider er placeret i Vietnam, som det fremgår af beskederne fra aktørerne i deres Telegram Command and Control (C2) bot-kanaler, såvel som deres præference for det vietnamesiske sprog ved navngivning af deres bots, PDB-strenge og andre vietnamesiske termer hårdkodet i deres binære data for nyttelast.
En flertrins infektionskæde leverer RotBot-malware-truslen
Angrebssekvensen starter med en Windows-genvejsfil (LNK), selvom metoden til distribution til mål forbliver uklar. Ved åbning af LNK-filen downloades og udføres en HTML-applikationsfil (HTA) fra en server, der styres af angriberen, og derefter kører et indlejret Visual Basic-script.
Dette script dekrypterer og udfører sekventielt tre yderligere PowerShell-scripts, der er ansvarlige for at udføre anti-VM- og anti-analyse-tjek, omgå Windows User Access Control (UAC), deaktivere Windows- og applikationsmeddelelser og downloade og udføre RotBot.
RotBot er konfigureret til at kommunikere med en Telegram-bot, hente og udføre XClient-tyverens malware i hukommelsen. Dette letter tyveri af cookies, legitimationsoplysninger og økonomiske oplysninger fra webbrowsere som Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox og Opera, samt Discord- og Telegram-data og tager skærmbilleder.
Ydermere er XClient designet til at udtrække data fra ofrenes Facebook-, Instagram-, TikTok- og YouTube-konti og indhente oplysninger om betalingsmetoder og tilladelser forbundet med deres Facebook-forretnings- og reklamekonti.
RotBot, en tilpasset variant af Quasar RAT-klienten, er blevet skræddersyet og kompileret specifikt til denne kampagne af trusselsaktøren. Derudover kan XClient prale af omfattende informationstjælende muligheder gennem sit plugin-modul og forskellige funktionaliteter til at udføre fjernadministrative opgaver.
Infostealere er fortsat en betydelig trussel, der er rettet mod adskillige sektorer
En malvertising-kampagne på Facebook udnytter hypen omkring generative AI-værktøjer til at promovere forskellige informationstyve som Rilide, Vidar, IceRAT og en nyligt opstået trussel kaldet Nova Stealer.
Angrebet begynder med, at trusselsaktøren overtager kontrollen over en eksisterende Facebook-konto og ændrer dens udseende, så den ligner populære AI-værktøjer fra Google, OpenAI og Midjourney. De udvider deres indflydelse ved at køre sponsorerede annoncer på platformen.
For eksempel samlede en forfalsket side, der udgav sig som Midjourney, 1,2 millioner følgere, før den blev lukket den 8. marts 2023. Personerne bag disse sider var primært placeret i Vietnam, USA, Indonesien, Storbritannien og Australien, blandt andre lande.
Disse malvertising-kampagner udnytter Metas sponsorerede annoncesystem til at opnå omfattende outreach, aktivt målrettet mod europæiske brugere i lande som Tyskland, Polen, Italien, Frankrig, Belgien, Spanien, Holland, Rumænien, Sverige og videre.
