RotBot Malware

माना जाता है कि वियतनाम से उत्पन्न एक समूह की पहचान मई 2023 से विभिन्न एशियाई और दक्षिण-पूर्व एशियाई देशों में व्यक्तियों को धमकी भरे सॉफ़्टवेयर के साथ लक्षित करने के रूप में की गई है, जिसका उद्देश्य कम से कम मूल्यवान जानकारी निकालना है। कोरलरेडर के रूप में जाना जाने वाला, साइबर सुरक्षा विशेषज्ञ इस ऑपरेशन पर बारीकी से नज़र रखते हैं, इसके वित्तीय उद्देश्यों को देखते हुए। अभियान के केंद्र बिंदु भारत, चीन, दक्षिण कोरिया, बांग्लादेश, पाकिस्तान, इंडोनेशिया और वियतनाम हैं।

यह साइबर अपराधी गिरोह व्यक्तिगत और व्यावसायिक दोनों तरह के खातों से क्रेडेंशियल, वित्तीय रिकॉर्ड और सोशल मीडिया प्रोफाइल चुराने में माहिर है। इस खास हमले के लिए उनके शस्त्रागार में रोटबॉट, क्वासर आरएटी का एक अनुकूलित संस्करण और एक्सक्लाइंट चोर शामिल हैं। इसके अतिरिक्त, वे कई तरह के ऑफ-द-शेल्फ मैलवेयर तैनात करते हैं, जैसे कि AsyncRAT , NetSupport RAT और Rhadamanthys , जिनका उद्देश्य रिमोट एक्सेस प्राप्त करना और समझौता किए गए सिस्टम से जानकारी चुराना है।

साइबर अपराधियों का लक्ष्य चयनित लक्ष्यों से संवेदनशील जानकारी को चुराना है

वियतनाम से आने वाले हमलावरों ने व्यवसाय और विज्ञापन खातों में घुसपैठ करने पर विशेष जोर दिया है, तथा बाद में मुद्रीकरण के लिए इन खातों पर नियंत्रण करने हेतु डकटेल , नोडस्टीलर और वियतक्रेडकेयर जैसे विभिन्न प्रकार के चोर मैलवेयर परिवारों का उपयोग किया है।

उनकी कार्यप्रणाली में पीड़ितों की मशीनों से चुराई गई जानकारी को प्रसारित करने के लिए टेलीग्राम का उपयोग करना शामिल है, जिसे फिर अवैध लाभ कमाने के लिए गुप्त बाजारों में आदान-प्रदान किया जाता है।

साक्ष्यों से पता चलता है कि कोरलरेडर के संचालक वियतनाम में स्थित हैं, जैसा कि उनके टेलीग्राम कमांड और कंट्रोल (सी2) बॉट चैनलों में अभिनेताओं के संदेशों से संकेत मिलता है, साथ ही उनके बॉट, पीडीबी स्ट्रिंग्स और उनके पेलोड बाइनरी में हार्डकोड किए गए अन्य वियतनामी शब्दों के नामकरण में वियतनामी भाषा के प्रति उनकी प्राथमिकता से भी संकेत मिलता है।

एक बहु-चरणीय संक्रमण श्रृंखला रोटबॉट मैलवेयर खतरे को जन्म देती है

हमले का क्रम विंडोज शॉर्टकट फ़ाइल (LNK) से शुरू होता है, हालांकि लक्ष्य तक वितरण की विधि अभी भी अस्पष्ट है। LNK फ़ाइल खोलने पर, एक HTML एप्लिकेशन (HTA) फ़ाइल डाउनलोड की जाती है और हमलावर द्वारा नियंत्रित सर्वर से निष्पादित की जाती है, जिसके बाद एक एम्बेडेड विज़ुअल बेसिक स्क्रिप्ट चलती है।

यह स्क्रिप्ट, बदले में, एंटी-वीएम और एंटी-एनालिसिस जांच करने, विंडोज उपयोगकर्ता एक्सेस कंट्रोल (UAC) को बायपास करने, विंडोज और एप्लिकेशन नोटिफिकेशन को निष्क्रिय करने और RotBot को डाउनलोड करने और निष्पादित करने के लिए जिम्मेदार तीन अतिरिक्त PowerShell स्क्रिप्ट को डिक्रिप्ट और क्रमिक रूप से निष्पादित करती है।

रोटबॉट को टेलीग्राम बॉट के साथ संवाद करने, मेमोरी में XClient स्टीलर मैलवेयर को पुनः प्राप्त करने और निष्पादित करने के लिए कॉन्फ़िगर किया गया है। यह Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, और Opera जैसे वेब ब्राउज़र से कुकीज़, क्रेडेंशियल और वित्तीय जानकारी की चोरी करने में मदद करता है, साथ ही Discord और Telegram डेटा और स्क्रीनशॉट कैप्चर करता है।

इसके अलावा, XClient को पीड़ितों के फेसबुक, इंस्टाग्राम, टिकटॉक और यूट्यूब खातों से डेटा निकालने, उनके फेसबुक व्यवसाय और विज्ञापन खातों से जुड़े भुगतान विधियों और अनुमतियों के बारे में जानकारी प्राप्त करने के लिए डिज़ाइन किया गया है।

रोटबॉट, क्वासर आरएटी क्लाइंट का एक अनुकूलित संस्करण है, जिसे विशेष रूप से इस अभियान के लिए खतरा पैदा करने वाले व्यक्ति द्वारा तैयार और संकलित किया गया है। इसके अतिरिक्त, XClient अपने प्लगइन मॉड्यूल और दूरस्थ प्रशासनिक कार्यों को निष्पादित करने के लिए विभिन्न कार्यात्मकताओं के माध्यम से व्यापक सूचना-चोरी क्षमताओं का दावा करता है।

सूचना चोर कई क्षेत्रों के लिए बड़ा खतरा बने हुए हैं

फेसबुक पर एक मैलवेयर अभियान जनरेटिव एआई टूल्स के इर्द-गिर्द हो रहे प्रचार का फायदा उठाकर विभिन्न सूचना चोर जैसे कि रिलाइड, विडार, आइसरैट और नोवा स्टीलर नामक एक नए उभरे खतरे को बढ़ावा दे रहा है।

हमले की शुरुआत तब होती है जब धमकी देने वाला व्यक्ति फेसबुक के मौजूदा अकाउंट पर नियंत्रण कर लेता है और उसके स्वरूप को बदलकर उसे गूगल, ओपनएआई और मिडजर्नी के लोकप्रिय एआई टूल जैसा बना देता है। वे प्लेटफॉर्म पर प्रायोजित विज्ञापन चलाकर अपना प्रभाव बढ़ाते हैं।

उदाहरण के लिए, मिडजर्नी के रूप में प्रस्तुत एक नकली पेज ने 8 मार्च, 2023 को बंद होने से पहले 1.2 मिलियन फॉलोअर्स जुटाए। इन पेजों के पीछे के व्यक्ति मुख्य रूप से वियतनाम, अमेरिका, इंडोनेशिया, यूके और ऑस्ट्रेलिया सहित अन्य देशों में स्थित थे।

ये दुर्भावनापूर्ण विज्ञापन अभियान व्यापक पहुंच प्राप्त करने के लिए मेटा की प्रायोजित विज्ञापन प्रणाली का लाभ उठाते हैं, तथा जर्मनी, पोलैंड, इटली, फ्रांस, बेल्जियम, स्पेन, नीदरलैंड, रोमानिया, स्वीडन और अन्य देशों में यूरोपीय उपयोगकर्ताओं को सक्रिय रूप से लक्षित करते हैं।