بدافزار RotBot

گروهی که گمان می‌رود منشأ ویتنام باشد، شناسایی شده است که افراد را در کشورهای مختلف آسیایی و آسیای جنوب شرقی با نرم‌افزار تهدیدآمیز با هدف استخراج اطلاعات ارزشمند از ماه مه 2023 هدف قرار می‌دهند. کارشناسان امنیت سایبری که با نام CoralRaider شناخته می‌شوند، از نزدیک بر این عملیات نظارت می‌کنند و به انگیزه‌های مالی آن اشاره می‌کنند. نقاط کانونی این کمپین شامل هند، چین، کره جنوبی، بنگلادش، پاکستان، اندونزی و ویتنام است.

این سندیکای مجرمان سایبری در سرقت اطلاعات اعتباری، سوابق مالی و پروفایل های رسانه های اجتماعی، که شامل حساب های شخصی و تجاری می شود، تخصص دارد. زرادخانه آنها برای این حمله خاص شامل RotBot، یک نسخه سفارشی شده از Quasar RAT و دزد XClient است. علاوه بر این، آنها طیف وسیعی از بدافزارهای خارج از قفسه، مانند AsyncRAT ، NetSupport RAT و Rhadamanthys را با هدف دستیابی به دسترسی از راه دور و سیفون کردن اطلاعات از سیستم های در معرض خطر مستقر می کنند.

هدف مجرمان سایبری به خطر انداختن اطلاعات حساس از اهداف منتخب است

مهاجمان از ویتنام تأکید زیادی بر نفوذ به حساب‌های تجاری و تبلیغاتی داشته‌اند و از خانواده‌های بدافزار دزدی مختلفی مانند Ducktail ، NodeStealer و VietCredCare برای در اختیار گرفتن کنترل این حساب‌ها برای کسب درآمد بعدی استفاده می‌کنند.

روش کار آنها شامل استفاده از تلگرام برای انتقال اطلاعات دزدیده شده از دستگاه های قربانیان است که سپس در بازارهای مخفی برای ایجاد سود غیرقانونی مبادله می شود.

شواهد نشان می دهد که اپراتورهای CoralRaider در ویتنام واقع شده اند، همانطور که توسط پیام های بازیگران در کانال های ربات Telegram Command and Control (C2) و همچنین ترجیح آنها برای زبان ویتنامی در نام گذاری ربات ها، رشته های PDB، و سایر اصطلاحات ویتنامی که در فایل‌های باینری محموله آنها کدگذاری شده‌اند.

یک زنجیره عفونت چند مرحله ای تهدید بدافزار RotBot را ایجاد می کند

توالی حمله با یک فایل میانبر ویندوز (LNK) آغاز می شود، اگرچه روش توزیع به اهداف نامشخص است. پس از باز کردن فایل LNK، یک فایل برنامه HTML (HTA) از سروری که توسط مهاجم کنترل می‌شود دانلود و اجرا می‌شود و متعاقباً یک اسکریپت Visual Basic تعبیه‌شده را اجرا می‌کند.

این اسکریپت به نوبه خود، سه اسکریپت PowerShell اضافی را که مسئول انجام بررسی های ضد VM و ضد تجزیه و تحلیل، دور زدن کنترل دسترسی کاربران ویندوز (UAC)، غیرفعال کردن اعلان های ویندوز و برنامه ها، و دانلود و اجرای RotBot هستند را رمزگشایی و به صورت متوالی اجرا می کند.

RotBot برای برقراری ارتباط با ربات تلگرام، بازیابی و اجرای بدافزار سرقت کننده XClient در حافظه پیکربندی شده است. این کار سرقت کوکی‌ها، اعتبارنامه‌ها و اطلاعات مالی از مرورگرهای وب مانند Brave، Cốc Cốc، Google Chrome، Microsoft Edge، Mozilla Firefox و Opera و همچنین داده‌های Discord و Telegram را تسهیل می‌کند و از صفحه نمایش عکس می‌گیرد.

علاوه بر این، XClient برای استخراج داده‌ها از حساب‌های Facebook، Instagram، TikTok و YouTube قربانیان طراحی شده است و اطلاعاتی در مورد روش‌های پرداخت و مجوزهای مرتبط با حساب‌های تجاری و تبلیغاتی فیسبوک آنها به دست می‌آورد.

RotBot، یک نوع سفارشی شده از کلاینت Quasar RAT، به طور خاص برای این کمپین توسط عامل تهدید طراحی و گردآوری شده است. علاوه بر این، XClient دارای قابلیت‌های گسترده سرقت اطلاعات از طریق ماژول پلاگین و عملکردهای مختلف برای اجرای وظایف مدیریتی از راه دور است.

Infostealers همچنان یک تهدید قابل توجه است که بخش های متعددی را هدف قرار می دهد

یک کمپین تبلیغات نادرست در فیس بوک از هیاهوی ابزارهای مولد هوش مصنوعی برای تبلیغ دزدان اطلاعات مختلف مانند Rilide، Vidar، IceRAT و تهدیدی جدید به نام Nova Stealer استفاده می کند.

این حمله با در دست گرفتن کنترل یک حساب کاربری موجود در فیس بوک و تغییر ظاهر آن به ابزارهای محبوب هوش مصنوعی گوگل، OpenAI و Midjourney آغاز می شود. آنها نفوذ خود را با اجرای تبلیغات حمایت شده در پلتفرم گسترش می دهند.

به عنوان مثال، یک صفحه تقلبی که به عنوان Midjourney ظاهر می شد، قبل از بسته شدن در 8 مارس 2023، 1.2 میلیون دنبال کننده جمع کرد. افراد پشت این صفحات عمدتاً در ویتنام، ایالات متحده، اندونزی، بریتانیا، و استرالیا و سایر کشورها قرار داشتند.

این کمپین‌های تبلیغات نادرست از سیستم تبلیغاتی متا برای دستیابی به دسترسی گسترده استفاده می‌کنند و کاربران اروپایی را در کشورهایی مانند آلمان، لهستان، ایتالیا، فرانسه، بلژیک، اسپانیا، هلند، رومانی، سوئد و فراتر از آن هدف قرار می‌دهند.