بدافزار RotBot
گروهی که گمان میرود منشأ ویتنام باشد، شناسایی شده است که افراد را در کشورهای مختلف آسیایی و آسیای جنوب شرقی با نرمافزار تهدیدآمیز با هدف استخراج اطلاعات ارزشمند از ماه مه 2023 هدف قرار میدهند. کارشناسان امنیت سایبری که با نام CoralRaider شناخته میشوند، از نزدیک بر این عملیات نظارت میکنند و به انگیزههای مالی آن اشاره میکنند. نقاط کانونی این کمپین شامل هند، چین، کره جنوبی، بنگلادش، پاکستان، اندونزی و ویتنام است.
این سندیکای مجرمان سایبری در سرقت اطلاعات اعتباری، سوابق مالی و پروفایل های رسانه های اجتماعی، که شامل حساب های شخصی و تجاری می شود، تخصص دارد. زرادخانه آنها برای این حمله خاص شامل RotBot، یک نسخه سفارشی شده از Quasar RAT و دزد XClient است. علاوه بر این، آنها طیف وسیعی از بدافزارهای خارج از قفسه، مانند AsyncRAT ، NetSupport RAT و Rhadamanthys را با هدف دستیابی به دسترسی از راه دور و سیفون کردن اطلاعات از سیستم های در معرض خطر مستقر می کنند.
فهرست مطالب
هدف مجرمان سایبری به خطر انداختن اطلاعات حساس از اهداف منتخب است
مهاجمان از ویتنام تأکید زیادی بر نفوذ به حسابهای تجاری و تبلیغاتی داشتهاند و از خانوادههای بدافزار دزدی مختلفی مانند Ducktail ، NodeStealer و VietCredCare برای در اختیار گرفتن کنترل این حسابها برای کسب درآمد بعدی استفاده میکنند.
روش کار آنها شامل استفاده از تلگرام برای انتقال اطلاعات دزدیده شده از دستگاه های قربانیان است که سپس در بازارهای مخفی برای ایجاد سود غیرقانونی مبادله می شود.
شواهد نشان می دهد که اپراتورهای CoralRaider در ویتنام واقع شده اند، همانطور که توسط پیام های بازیگران در کانال های ربات Telegram Command and Control (C2) و همچنین ترجیح آنها برای زبان ویتنامی در نام گذاری ربات ها، رشته های PDB، و سایر اصطلاحات ویتنامی که در فایلهای باینری محموله آنها کدگذاری شدهاند.
یک زنجیره عفونت چند مرحله ای تهدید بدافزار RotBot را ایجاد می کند
توالی حمله با یک فایل میانبر ویندوز (LNK) آغاز می شود، اگرچه روش توزیع به اهداف نامشخص است. پس از باز کردن فایل LNK، یک فایل برنامه HTML (HTA) از سروری که توسط مهاجم کنترل میشود دانلود و اجرا میشود و متعاقباً یک اسکریپت Visual Basic تعبیهشده را اجرا میکند.
این اسکریپت به نوبه خود، سه اسکریپت PowerShell اضافی را که مسئول انجام بررسی های ضد VM و ضد تجزیه و تحلیل، دور زدن کنترل دسترسی کاربران ویندوز (UAC)، غیرفعال کردن اعلان های ویندوز و برنامه ها، و دانلود و اجرای RotBot هستند را رمزگشایی و به صورت متوالی اجرا می کند.
RotBot برای برقراری ارتباط با ربات تلگرام، بازیابی و اجرای بدافزار سرقت کننده XClient در حافظه پیکربندی شده است. این کار سرقت کوکیها، اعتبارنامهها و اطلاعات مالی از مرورگرهای وب مانند Brave، Cốc Cốc، Google Chrome، Microsoft Edge، Mozilla Firefox و Opera و همچنین دادههای Discord و Telegram را تسهیل میکند و از صفحه نمایش عکس میگیرد.
علاوه بر این، XClient برای استخراج دادهها از حسابهای Facebook، Instagram، TikTok و YouTube قربانیان طراحی شده است و اطلاعاتی در مورد روشهای پرداخت و مجوزهای مرتبط با حسابهای تجاری و تبلیغاتی فیسبوک آنها به دست میآورد.
RotBot، یک نوع سفارشی شده از کلاینت Quasar RAT، به طور خاص برای این کمپین توسط عامل تهدید طراحی و گردآوری شده است. علاوه بر این، XClient دارای قابلیتهای گسترده سرقت اطلاعات از طریق ماژول پلاگین و عملکردهای مختلف برای اجرای وظایف مدیریتی از راه دور است.
Infostealers همچنان یک تهدید قابل توجه است که بخش های متعددی را هدف قرار می دهد
یک کمپین تبلیغات نادرست در فیس بوک از هیاهوی ابزارهای مولد هوش مصنوعی برای تبلیغ دزدان اطلاعات مختلف مانند Rilide، Vidar، IceRAT و تهدیدی جدید به نام Nova Stealer استفاده می کند.
این حمله با در دست گرفتن کنترل یک حساب کاربری موجود در فیس بوک و تغییر ظاهر آن به ابزارهای محبوب هوش مصنوعی گوگل، OpenAI و Midjourney آغاز می شود. آنها نفوذ خود را با اجرای تبلیغات حمایت شده در پلتفرم گسترش می دهند.
به عنوان مثال، یک صفحه تقلبی که به عنوان Midjourney ظاهر می شد، قبل از بسته شدن در 8 مارس 2023، 1.2 میلیون دنبال کننده جمع کرد. افراد پشت این صفحات عمدتاً در ویتنام، ایالات متحده، اندونزی، بریتانیا، و استرالیا و سایر کشورها قرار داشتند.
این کمپینهای تبلیغات نادرست از سیستم تبلیغاتی متا برای دستیابی به دسترسی گسترده استفاده میکنند و کاربران اروپایی را در کشورهایی مانند آلمان، لهستان، ایتالیا، فرانسه، بلژیک، اسپانیا، هلند، رومانی، سوئد و فراتر از آن هدف قرار میدهند.