Κακόβουλο λογισμικό RotBot
Μια ομάδα που πιστεύεται ότι προέρχεται από το Βιετνάμ έχει αναγνωριστεί ότι στοχεύει άτομα σε διάφορες χώρες της Ασίας και της Νοτιοανατολικής Ασίας με απειλητικό λογισμικό που στοχεύει στην εξαγωγή πολύτιμων πληροφοριών τουλάχιστον από τον Μάιο του 2023. Γνωστό ως CoralRaider, ειδικοί στον κυβερνοχώρο παρακολουθούν στενά αυτήν την επιχείρηση, σημειώνοντας τα οικονομικά της κίνητρα. Τα κεντρικά σημεία της εκστρατείας περιλαμβάνουν την Ινδία, την Κίνα, τη Νότια Κορέα, το Μπαγκλαντές, το Πακιστάν, την Ινδονησία και το Βιετνάμ.
Αυτό το σωματείο κυβερνοεγκληματιών ειδικεύεται στην κλοπή διαπιστευτηρίων, οικονομικών αρχείων και προφίλ μέσων κοινωνικής δικτύωσης, που περιλαμβάνει τόσο προσωπικούς όσο και επαγγελματικούς λογαριασμούς. Το οπλοστάσιό τους για τη συγκεκριμένη επίθεση περιλαμβάνει το RotBot, μια προσαρμοσμένη έκδοση του Quasar RAT και το XClient stealer. Επιπλέον, αναπτύσσουν μια σειρά από κακόβουλο λογισμικό εκτός ραφιού, όπως το AsyncRAT , το NetSupport RAT και το Rhadamanthys , με στόχο την απόκτηση απομακρυσμένης πρόσβασης και τη λήψη πληροφοριών από παραβιασμένα συστήματα.
Πίνακας περιεχομένων
Οι εγκληματίες του κυβερνοχώρου στοχεύουν να παραβιάσουν ευαίσθητες πληροφορίες από επιλεγμένους στόχους
Οι επιτιθέμενοι που προέρχονται από το Βιετνάμ έχουν δώσει σημαντική έμφαση στη διείσδυση σε επιχειρηματικούς και διαφημιστικούς λογαριασμούς, χρησιμοποιώντας μια ποικιλία από οικογένειες κακόβουλων προγραμμάτων κλοπής, όπως το Ducktail , το NodeStealer και το VietCredCare για να πάρουν τον έλεγχο αυτών των λογαριασμών για επακόλουθη δημιουργία εσόδων.
Ο τρόπος λειτουργίας τους περιλαμβάνει τη χρήση του Telegram για τη μετάδοση των κλοπιμαίων πληροφοριών από τις μηχανές των θυμάτων, οι οποίες στη συνέχεια ανταλλάσσονται σε μυστικές αγορές για τη δημιουργία παράνομων κερδών.
Τα στοιχεία υποδεικνύουν ότι οι χειριστές του CoralRaider βρίσκονται στο Βιετνάμ, όπως υποδεικνύεται από τα μηνύματα των ηθοποιών στα κανάλια ρομπότ Telegram Command and Control (C2), καθώς και από την προτίμησή τους για τη βιετναμέζικη γλώσσα για την ονομασία των bot, των συμβολοσειρών PDB και άλλοι βιετναμέζικοι όροι κωδικοποιημένοι στα δυαδικά αρχεία ωφέλιμου φορτίου τους.
Μια αλυσίδα μόλυνσης πολλαπλών σταδίων εκπέμπει την απειλή κακόβουλου λογισμικού RotBot
Η ακολουθία επίθεσης ξεκινά με ένα αρχείο συντόμευσης των Windows (LNK), αν και η μέθοδος διανομής στους στόχους παραμένει ασαφής. Με το άνοιγμα του αρχείου LNK, γίνεται λήψη και εκτέλεση ενός αρχείου εφαρμογής HTML (HTA) από έναν διακομιστή που ελέγχεται από τον εισβολέα, εκτελώντας στη συνέχεια ένα ενσωματωμένο σενάριο της Visual Basic.
Αυτό το σενάριο, με τη σειρά του, αποκρυπτογραφεί και εκτελεί διαδοχικά τρία πρόσθετα σενάρια PowerShell που είναι υπεύθυνα για τη διεξαγωγή ελέγχων anti-VM και αντι-ανάλυσης, την παράκαμψη του Ελέγχου πρόσβασης χρήστη των Windows (UAC), την απενεργοποίηση των ειδοποιήσεων των Windows και εφαρμογών και τη λήψη και εκτέλεση του RotBot.
Το RotBot έχει ρυθμιστεί να επικοινωνεί με ένα bot Telegram, ανακτώντας και εκτελώντας το κακόβουλο λογισμικό κλοπής XClient στη μνήμη. Αυτό διευκολύνει την κλοπή cookie, διαπιστευτηρίων και οικονομικών πληροφοριών από προγράμματα περιήγησης Ιστού όπως Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox και Opera, καθώς και δεδομένων Discord και Telegram και καταγράφει στιγμιότυπα οθόνης.
Επιπλέον, το XClient έχει σχεδιαστεί για να εξάγει δεδομένα από τους λογαριασμούς Facebook, Instagram, TikTok και YouTube των θυμάτων, λαμβάνοντας πληροφορίες σχετικά με τους τρόπους πληρωμής και τις άδειες που σχετίζονται με τους επιχειρηματικούς και διαφημιστικούς λογαριασμούς τους στο Facebook.
Το RotBot, μια προσαρμοσμένη παραλλαγή του προγράμματος-πελάτη Quasar RAT, έχει προσαρμοστεί και μεταγλωττιστεί ειδικά για αυτήν την καμπάνια από τον παράγοντα απειλών. Επιπλέον, το XClient μπορεί να υπερηφανεύεται για εκτεταμένες δυνατότητες κλοπής πληροφοριών μέσω της μονάδας πρόσθετων και διαφόρων λειτουργιών για την εκτέλεση απομακρυσμένων διαχειριστικών εργασιών.
Οι Infostealers παραμένουν μια σημαντική απειλή που στοχεύει πολλούς τομείς
Μια καμπάνια κακόβουλης διαφήμισης στο Facebook εκμεταλλεύεται τη διαφημιστική εκστρατεία που περιβάλλει τα εργαλεία παραγωγής τεχνητής νοημοσύνης για να προωθήσει διάφορους κλέφτες πληροφοριών όπως οι Rilide, Vidar, IceRAT και μια νέα απειλή που ονομάζεται Nova Stealer.
Η επίθεση ξεκινά με τον παράγοντα απειλών να παίρνει τον έλεγχο ενός υπάρχοντος λογαριασμού στο Facebook και να αλλάζει την εμφάνισή του ώστε να μοιάζει με δημοφιλή εργαλεία τεχνητής νοημοσύνης από την Google, το OpenAI και το Midjourney. Επεκτείνουν την επιρροή τους προβάλλοντας διαφημίσεις με χορηγία στην πλατφόρμα.
Για παράδειγμα, μια πλαστή σελίδα που παρίστανε το Midjourney συγκέντρωσε 1,2 εκατομμύρια ακόλουθους πριν κλείσει στις 8 Μαρτίου 2023. Τα άτομα πίσω από αυτές τις σελίδες βρίσκονταν κυρίως στο Βιετνάμ, στις ΗΠΑ, στην Ινδονησία, στο Ηνωμένο Βασίλειο και στην Αυστραλία, μεταξύ άλλων χωρών.
Αυτές οι καμπάνιες κακόβουλης διαφήμισης αξιοποιούν το σύστημα διαφημίσεων που χορηγεί η Meta για να επιτύχει εκτεταμένη προσέγγιση, στοχεύοντας ενεργά τους ευρωπαίους χρήστες σε χώρες όπως η Γερμανία, η Πολωνία, η Ιταλία, η Γαλλία, το Βέλγιο, η Ισπανία, η Ολλανδία, η Ρουμανία, η Σουηδία και άλλες.
