RotBoti pahavara
Väidetavalt Vietnamist pärit rühm on tuvastanud, et see sihib inimesi erinevates Aasia ja Kagu-Aasia riikides ähvardava tarkvaraga, mille eesmärk on hankida väärtuslikku teavet vähemalt 2023. aasta maist. CoralRaiderina tuntud küberjulgeolekueksperdid jälgivad seda operatsiooni tähelepanelikult, võttes arvesse selle rahalisi motiive. Kampaania fookuspunktid on India, Hiina, Lõuna-Korea, Bangladesh, Pakistan, Indoneesia ja Vietnam.
See küberkurjategijate sündikaat on spetsialiseerunud volikirjade, finantsdokumentide ja sotsiaalmeedia profiilide röövimisele, hõlmates nii isiklikke kui ka ärikontosid. Nende arsenali selle konkreetse rünnaku jaoks on RotBot, Quasar RATi kohandatud versioon ja XClient stealer. Lisaks juurutavad nad hulga valmis pahavara, nagu AsyncRAT , NetSupport RAT ja Rhadamanthys , mille eesmärk on saada kaugjuurdepääs ja saada teavet ohustatud süsteemidest.
Sisukord
Küberkurjategijate eesmärk on ohustada valitud sihtmärkide tundlikku teavet
Vietnamist pärit ründajad on pannud märkimisväärset rõhku äri- ja reklaamikontodele imbumisele, kasutades selleks mitmesuguseid varastamis-ründevaraperekondi, nagu Ducktail , NodeStealer ja VietCredCare , et haarata nende kontode üle kontroll hilisemaks monetiseerimiseks.
Nende tegevusviis hõlmab Telegrami kasutamist ohvrite masinatest varjatud teabe edastamiseks, mida seejärel salaturgudel ebaseadusliku kasumi teenimiseks vahetatakse.
Tõendid viitavad sellele, et CoralRaideri operaatorid asuvad Vietnamis, nagu näitavad nende Telegrami käsu- ja juhtimissüsteemi (C2) robotikanalites osalejate sõnumid, samuti nende eelistamine vietnami keelele oma robotite, esialgse eelarveprojekti stringide ja muud vietnami terminid, mis on nende kasuliku koormuse binaarfailides kõvasti kodeeritud.
Mitmeastmeline nakkusahel pakub RotBoti pahavara ohtu
Rünnaku jada käivitatakse Windowsi otseteefailiga (LNK), kuigi sihtmärkidele levitamise meetod jääb ebaselgeks. LNK-faili avamisel laaditakse HTML-rakenduse (HTA) fail alla ja käivitatakse ründaja juhitavast serverist ning seejärel käivitatakse manustatud Visual Basicu skript.
See skript omakorda dekrüpteerib ja käivitab järjestikku kolm täiendavat PowerShelli skripti, mis vastutavad VM-i ja analüüsivastaste kontrollide läbiviimise, Windowsi kasutaja juurdepääsukontrolli (UAC) möödahiilimise, Windowsi ja rakenduste teatiste desaktiveerimise ning RotBoti allalaadimise ja käivitamise eest.
RotBot on konfigureeritud suhtlema Telegrami robotiga, hankides ja käivitades mälus oleva XClient stealeri pahavara. See hõlbustab küpsiste, mandaatide ja finantsteabe vargust sellistest veebibrauseritest nagu Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ja Opera, samuti Discordi ja Telegrami andmeid ning jäädvustab ekraanipilte.
Lisaks on XClient loodud andmete hankimiseks ohvrite Facebooki, Instagrami, TikToki ja YouTube'i kontodelt, hankides teavet nende Facebooki äri- ja reklaamikontodega seotud makseviiside ja lubade kohta.
RotBot, Quasar RAT-i kliendi kohandatud variant, on ohutegija spetsiaalselt selle kampaania jaoks kohandatud ja koostanud. Lisaks on XClientil laialdased teabevarastamise võimalused oma pistikprogrammi mooduli ja erinevate funktsioonide kaudu kaughaldustoimingute täitmiseks.
Infostealerid on endiselt märkimisväärne oht, mis sihib paljusid sektoreid
Facebooki pahatahtliku reklaamimise kampaania kasutab ära generatiivsete AI-tööriistade ümber levivat reklaami, et reklaamida erinevaid teabevarastajaid, nagu Rilide, Vidar, IceRAT ja äsja esilekerkinud ohtu nimega Nova Stealer.
Rünnak algab sellega, et ohustaja haarab kontrolli olemasoleva Facebooki konto üle ja muudab selle välimust, et sarnaneda Google'i, OpenAI ja Midjourney populaarsete tehisintellekti tööriistadega. Nad laiendavad oma mõju, esitades platvormil sponsoreeritud reklaame.
Näiteks kogus võltsleht, mis kujutas endast Keskjourneyt, 1,2 miljonit jälgijat, enne kui see suleti 8. märtsil 2023. Nende lehtede taga olevad isikud asusid muu hulgas peamiselt Vietnamis, USA-s, Indoneesias, Ühendkuningriigis ja Austraalias.
Need pahatahtlikud kampaaniad kasutavad Meta sponsoreeritud reklaamisüsteemi, et saavutada laiaulatuslikku levikut, sihites aktiivselt Euroopa kasutajaid sellistes riikides nagu Saksamaa, Poola, Itaalia, Prantsusmaa, Belgia, Hispaania, Holland, Rumeenia, Rootsi ja mujal.
