תוכנות זדוניות של RotBot

קבוצה שלדעתה מקורה בוייטנאם זוהתה כמכוונת ליחידים במדינות שונות באסיה ובדרום מזרח אסיה באמצעות תוכנות מאיימות שמטרתן לחלץ מידע בעל ערך לפחות מאז מאי 2023. ידועים כ-CoralRaider, מומחי אבטחת סייבר עוקבים מקרוב אחר המבצע הזה, ומציינים את המניעים הפיננסיים שלו. מוקדי הקמפיין כוללים את הודו, סין, דרום קוריאה, בנגלדש, פקיסטן, אינדונזיה וויאטנם.

סינדיקט פושעי סייבר זה מתמחה בגניבת אישורים, רשומות פיננסיות ופרופילי מדיה חברתית, הכוללים חשבונות אישיים ועסקיים כאחד. הארסנל שלהם לתקיפה הספציפית הזו כולל את RotBot, גרסה מותאמת אישית של Quasar RAT והגנב XClient. בנוסף, הם פורסים מגוון של תוכנות זדוניות מדף, כגון AsyncRAT , NetSupport RAT ו- Rhadamanthys , שמטרתן להשיג גישה מרחוק ולסיפוק מידע ממערכות שנפגעו.

פושעי סייבר שואפים להתפשר על מידע רגיש ממטרות נבחרות

תוקפים שמקורם בווייטנאם שמו דגש משמעותי על חדירת חשבונות עסקיים ופרסומות, תוך שימוש במגוון משפחות תוכנות זדוניות גניבות כגון Ducktail , NodeStealer ו- VietCredCare כדי לתפוס את השליטה בחשבונות אלה לצורך מונטיזציה לאחר מכן.

אופן הפעולה שלהם כרוך בשימוש בטלגרם כדי להעביר את המידע שנגנב מהמכונות של הקורבנות, אשר מוחלף לאחר מכן בשווקים חשאיים כדי לייצר רווחים בלתי חוקיים.

הראיות מצביעות על כך שהמפעילים של CoralRaider נמצאים בווייטנאם, כפי שמצוין מההודעות מהשחקנים בערוצי הבוט של Telegram Command and Control (C2), כמו גם העדפתם לשפה הווייטנאמית במתן שמות לבוטים שלהם, מחרוזות PDB, ו מונחים וייטנאמיים אחרים מקודדים בקבצים הבינאריים של המטען שלהם.

שרשרת זיהום רב-שלבית מספקת את איום התוכנה הזדונית של RotBot

רצף התקיפה מתחיל עם קובץ קיצור של Windows (LNK), אם כי שיטת ההפצה למטרות עדיין לא ברורה. עם פתיחת קובץ LNK, קובץ יישום HTML (HTA) מוריד ומבוצע משרת הנשלט על ידי התוקף, ולאחר מכן מפעיל סקריפט Visual Basic מוטבע.

סקריפט זה, בתורו, מפענח ומבצע ברצף שלושה סקריפטים נוספים של PowerShell האחראים לביצוע בדיקות אנטי-VM ואנטי-אנליזה, עקיפת בקרת גישה למשתמשים של Windows (UAC), ביטול הפעלת התראות של Windows ואפליקציות, והורדה וביצוע של RotBot.

RotBot מוגדר לתקשר עם בוט של טלגרם, אחזור וביצוע של תוכנת הגניבה XClient בזיכרון. זה מקל על גניבת קובצי Cookie, אישורים ומידע פיננסי מדפדפני אינטרנט כגון Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ו-Opera, כמו גם נתוני Discord ו-Telegram ומצלם צילומי מסך.

יתרה מזאת, XClient נועד לחלץ נתונים מחשבונות פייסבוק, אינסטגרם, TikTok ו-YouTube של קורבנות, להשיג מידע על שיטות תשלום והרשאות הקשורות לחשבונות העסק והפרסומות שלהם בפייסבוק.

RotBot, גרסה מותאמת אישית של הלקוח Quasar RAT, הותאמה והורכבה במיוחד עבור הקמפיין הזה על ידי שחקן האיום. בנוסף, XClient מתגאה ביכולות נרחבות של גניבת מידע באמצעות מודול הפלאגין שלו ופונקציות שונות לביצוע משימות ניהול מרחוק.

גנבי מידע נותרו איום ניכר המכוונים למספר מגזרים

מסע פרסום רעיוני בפייסבוק מנצל את ההייפ סביב כלי AI גנרטיביים כדי לקדם גונבי מידע שונים כמו Rilide, Vidar, IceRAT ואיום חדש שנקרא Nova Stealer.

המתקפה מתחילה בכך ששחקן האיום תופס את השליטה בחשבון פייסבוק קיים ומשנה את המראה שלו כדי להידמות לכלי AI פופולריים מגוגל, OpenAI ו-Midjourney. הם מרחיבים את השפעתם על ידי הצגת פרסומות ממומנות בפלטפורמה.

לדוגמה, דף מזויף שמתחזה ל-Midjourney צבר 1.2 מיליון עוקבים לפני שהוא נסגר ב-8 במרץ 2023. האנשים שמאחורי הדפים האלה היו ממוקמים בעיקר בווייטנאם, ארה"ב, אינדונזיה, בריטניה ואוסטרליה, בין מדינות אחרות.

מסעות פרסום אלה ממנפים את מערכת המודעות הממומנת של Meta להשגת הסברה נרחבת, תוך מיקוד פעיל למשתמשים אירופיים במדינות כמו גרמניה, פולין, איטליה, צרפת, בלגיה, ספרד, הולנד, רומניה, שוודיה ומעבר לכך.