RotBot zlonamjerni softver

Grupa za koju se vjeruje da potječe iz Vijetnama identificirana je kao meta pojedinaca u raznim azijskim i jugoistočnoazijskim zemljama s prijetećim softverom čiji je cilj izvlačenje vrijednih informacija od najmanje svibnja 2023. Poznati kao CoralRaider, stručnjaci za kibernetičku sigurnost pomno prate ovu operaciju, ističući njezine financijske motive. Središnje točke kampanje su Indija, Kina, Južna Koreja, Bangladeš, Pakistan, Indonezija i Vijetnam.

Ovaj sindikat kibernetičkog kriminala specijaliziran je za krađu vjerodajnica, financijskih podataka i profila na društvenim mrežama, uključujući osobne i poslovne račune. Njihov arsenal za ovaj određeni napad uključuje RotBot, prilagođenu verziju Quasar RAT- a i XClient kradljivca. Osim toga, postavljaju niz gotovog zlonamjernog softvera, poput AsyncRAT-a , NetSupport RAT- a i Rhadamanthysa , usmjerenog na dobivanje udaljenog pristupa i crpljenje informacija iz kompromitiranih sustava.

Kibernetički kriminalci nastoje kompromitirati osjetljive informacije od odabranih meta

Napadači koji potječu iz Vijetnama stavili su značajan naglasak na infiltraciju u poslovne i reklamne račune, koristeći različite kradljive obitelji zlonamjernog softvera kao što su Ducktail , NodeStealer i VietCredCare kako bi preuzeli kontrolu nad tim računima za naknadnu monetizaciju.

Njihov modus operandi uključuje korištenje Telegrama za prijenos ukradenih informacija sa strojeva žrtava, koje se zatim razmjenjuju na tajnim tržištima kako bi se stvorila nezakonita zarada.

Dokazi upućuju na to da se operateri CoralRaidera nalaze u Vijetnamu, kao što pokazuju poruke aktera na njihovim Telegram Command and Control (C2) bot kanalima, kao i njihova sklonost vijetnamskom jeziku u imenovanju svojih botova, PDB stringovima i drugi vijetnamski izrazi tvrdo kodirani unutar njihovih binarnih datoteka.

Višefazni lanac zaraze isporučuje prijetnju zlonamjernim softverom RotBot

Napadna sekvenca započinje Windows datotekom prečaca (LNK), iako metoda distribucije do ciljeva ostaje nejasna. Nakon otvaranja LNK datoteke, datoteka HTML aplikacije (HTA) preuzima se i izvršava s poslužitelja kojim upravlja napadač, nakon čega se pokreće ugrađena Visual Basic skripta.

Ova skripta, zauzvrat, dekriptira i uzastopno izvršava tri dodatne PowerShell skripte odgovorne za provođenje anti-VM i anti-analize provjera, zaobilaženje Windows kontrole korisničkog pristupa (UAC), deaktiviranje Windows i obavijesti aplikacija te preuzimanje i izvršavanje RotBota.

RotBot je konfiguriran za komunikaciju s Telegram botom, dohvaćanje i pokretanje XClient stealer zlonamjernog softvera u memoriji. Ovo olakšava krađu kolačića, vjerodajnica i financijskih informacija iz web preglednika kao što su Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox i Opera, kao i podataka Discorda i Telegrama te snima snimke zaslona.

Nadalje, XClient je dizajniran za izvlačenje podataka sa Facebook, Instagram, TikTok i YouTube računa žrtava, dobivanje informacija o načinima plaćanja i dozvolama povezanim s njihovim poslovnim i oglasnim računima na Facebooku.

RotBot, prilagođenu varijantu klijenta Quasar RAT, akter prijetnje skrojio je i sastavio posebno za ovu kampanju. Osim toga, XClient se može pohvaliti opsežnim mogućnostima krađe informacija putem svog modula dodataka i raznih funkcija za izvršavanje udaljenih administrativnih zadataka.

Infostealeri i dalje predstavljaju značajnu prijetnju koja cilja na brojne sektore

Kampanja zlonamjernog oglašavanja na Facebooku iskorištava hype oko generativnih AI alata za promicanje raznih kradljivaca informacija poput Rilidea, Vidara, IceRAT -a i novonastale prijetnje pod nazivom Nova Stealer.

Napad počinje tako što akter prijetnje preuzima kontrolu nad postojećim Facebook računom i mijenja njegov izgled kako bi sličio popularnim AI alatima iz Googlea, OpenAI-ja i Midjourneyja. Svoj utjecaj proširuju pokretanjem sponzoriranih oglasa na platformi.

Na primjer, krivotvorena stranica koja se predstavljala kao Midjourney prikupila je 1,2 milijuna sljedbenika prije nego što je ugašena 8. ožujka 2023. Pojedinci koji stoje iza ovih stranica uglavnom su se nalazili u Vijetnamu, SAD-u, Indoneziji, UK-u i Australiji, između ostalih zemalja.

Ove kampanje zlonamjernog oglašavanja iskorištavaju Metin sponzorirani oglasni sustav za postizanje opsežnog dosega, aktivno ciljajući europske korisnike u zemljama kao što su Njemačka, Poljska, Italija, Francuska, Belgija, Španjolska, Nizozemska, Rumunjska, Švedska i šire.