Malware RotBot
Un gruppo ritenuto originario del Vietnam è stato identificato come preso di mira individui in varie nazioni asiatiche e del sud-est asiatico con software minaccioso volto a estrarre informazioni preziose almeno dal maggio 2023. Conosciuto come CoralRaider, gli esperti di sicurezza informatica monitorano da vicino questa operazione, rilevando le sue motivazioni finanziarie. I punti focali della campagna includono India, Cina, Corea del Sud, Bangladesh, Pakistan, Indonesia e Vietnam.
Questo sindacato di criminali informatici è specializzato nel furto di credenziali, documenti finanziari e profili di social media, che comprendono sia account personali che aziendali. Il loro arsenale per questo particolare assalto include RotBot, una versione personalizzata di Quasar RAT e il ladro XClient. Inoltre, distribuiscono una gamma di malware standard, come AsyncRAT , NetSupport RAT e Rhadamanthys , volti a ottenere l'accesso remoto e sottrarre informazioni dai sistemi compromessi.
Sommario
I criminali informatici mirano a compromettere le informazioni sensibili di obiettivi selezionati
Gli aggressori provenienti dal Vietnam hanno posto un'enfasi significativa sull'infiltrazione negli account aziendali e pubblicitari, impiegando una varietà di famiglie di malware stealer come Ducktail , NodeStealer e VietCredCare per prendere il controllo di questi account per la successiva monetizzazione.
Il loro modus operandi prevede l'utilizzo di Telegram per trasmettere dalle macchine delle vittime informazioni rubate, che vengono poi scambiate in mercati clandestini per generare profitti illeciti.
Le prove suggeriscono che gli operatori di CoralRaider si trovano in Vietnam, come indicato dai messaggi degli attori nei loro canali bot Telegram Command and Control (C2), così come dalla loro preferenza per la lingua vietnamita nel nominare i loro bot, stringhe PDB e altri termini vietnamiti codificati all'interno dei file binari del carico utile.
Una catena di infezione a più fasi distribuisce la minaccia malware RotBot
La sequenza dell'attacco inizia con un file di collegamento di Windows (LNK), anche se il metodo di distribuzione agli obiettivi rimane poco chiaro. All'apertura del file LNK, un file dell'applicazione HTML (HTA) viene scaricato ed eseguito da un server controllato dall'aggressore, eseguendo successivamente uno script Visual Basic incorporato.
Questo script, a sua volta, decrittografa ed esegue in sequenza tre script PowerShell aggiuntivi responsabili di condurre controlli anti-VM e anti-analisi, aggirare il controllo di accesso utente (UAC) di Windows, disattivare le notifiche di Windows e delle applicazioni e scaricare ed eseguire RotBot.
RotBot è configurato per comunicare con un bot di Telegram, recuperando ed eseguendo il malware XClient stealer in memoria. Ciò facilita il furto di cookie, credenziali e informazioni finanziarie da browser Web come Brave, Google Chrome, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, nonché dati Discord e Telegram e acquisisce screenshot.
Inoltre, XClient è progettato per estrarre dati dagli account Facebook, Instagram, TikTok e YouTube delle vittime, ottenendo informazioni sui metodi di pagamento e sulle autorizzazioni associati ai loro account aziendali e pubblicitari di Facebook.
RotBot, una variante personalizzata del client Quasar RAT, è stato adattato e compilato appositamente per questa campagna dall'autore della minaccia. Inoltre, XClient vanta ampie capacità di furto di informazioni attraverso il suo modulo plug-in e varie funzionalità per l'esecuzione di attività amministrative remote.
Gli infostealer rimangono una minaccia considerevole che prende di mira numerosi settori
Una campagna di malvertising su Facebook sta sfruttando l'hype che circonda gli strumenti di intelligenza artificiale generativa per promuovere vari ladri di informazioni come Rilide, Vidar, IceRAT e una minaccia appena emersa chiamata Nova Stealer.
L’attacco inizia con l’autore della minaccia che prende il controllo di un account Facebook esistente e ne altera l’aspetto per assomigliare ai popolari strumenti di intelligenza artificiale di Google, OpenAI e Midjourney. Estendono la loro influenza pubblicando annunci sponsorizzati sulla piattaforma.
Ad esempio, una pagina contraffatta che si spacciava per Midjourney ha accumulato 1,2 milioni di follower prima di essere chiusa l'8 marzo 2023. Le persone dietro queste pagine si trovavano principalmente in Vietnam, Stati Uniti, Indonesia, Regno Unito e Australia, tra gli altri paesi.
Queste campagne di malvertising sfruttano il sistema di annunci sponsorizzati di Meta per raggiungere un'ampia portata, rivolgendosi attivamente agli utenti europei in paesi come Germania, Polonia, Italia, Francia, Belgio, Spagna, Paesi Bassi, Romania, Svezia e oltre.
