Multi-License Discount Quote
위협 데이터베이스 Malware RotBot 악성코드

RotBot 악성코드

Malware, Stealers년에 Mezo 년까지
번역 :
한국어

베트남에서 시작된 것으로 추정되는 그룹은 최소 2023년 5월부터 귀중한 정보를 추출하기 위한 위협 소프트웨어를 사용하여 다양한 아시아 및 동남아시아 국가의 개인을 표적으로 삼는 것으로 확인되었습니다. CoralRaider로 알려진 사이버 보안 전문가는 이 작업을 면밀히 모니터링하며 재정적 동기를 지적합니다. 캠페인의 초점은 인도, 중국, 한국, 방글라데시, 파키스탄, 인도네시아, 베트남을 포함합니다.

이 사이버범죄 조직은 개인 계정과 기업 계정을 모두 포괄하는 자격 증명, 금융 기록, 소셜 미디어 프로필을 훔치는 것을 전문으로 합니다. 이 특별한 공격을 위한 그들의 무기고에는 Quasar RAT 의 맞춤형 버전인 RotBot과 XClient 스틸러가 포함됩니다. 또한 AsyncRAT , NetSupport RATRhadamanthys 와 같은 다양한 기성 악성 코드를 배포하여 원격 액세스 권한을 얻고 손상된 시스템에서 정보를 빼내는 것을 목표로 합니다.

사이버 범죄자들은 선택된 대상의 민감한 정보를 손상시키는 것을 목표로 합니다.

베트남에서 발생한 공격자들은 Ducktail , NodeStealerVietCredCare 와 같은 다양한 스틸러 악성 코드 계열을 사용하여 비즈니스 및 광고 계정에 침투하는 데 중점을 두어 후속 수익 창출을 위해 이러한 계정을 장악합니다.

그들의 작업 방식에는 Telegram을 활용하여 피해자의 컴퓨터에서 훔친 정보를 전송한 다음 비밀 시장에서 교환하여 불법적인 이익을 창출하는 것이 포함됩니다.

텔레그램 명령 및 제어(C2) 봇 채널의 행위자가 보낸 메시지와 봇 이름 지정 시 베트남어 선호, PDB 문자열 및 페이로드 바이너리 내에 하드코딩된 기타 베트남어 용어.

다단계 감염 체인이 RotBot 악성코드 위협을 전달합니다

공격 순서는 Windows 바로 가기 파일(LNK)로 시작되지만 대상에 배포하는 방법은 여전히 불분명합니다. LNK 파일을 열면 공격자가 제어하는 서버에서 HTML 애플리케이션(HTA) 파일이 다운로드되어 실행되고, 이어서 내장된 Visual Basic 스크립트가 실행됩니다.

그러면 이 스크립트는 VM 방지 및 분석 방지 검사 수행, Windows UAC(사용자 액세스 제어) 우회, Windows 및 애플리케이션 알림 비활성화, RotBot 다운로드 및 실행을 담당하는 세 가지 추가 PowerShell 스크립트를 해독하고 순차적으로 실행합니다.

RotBot은 Telegram 봇과 통신하여 메모리에서 XClient 스틸러 악성코드를 검색하고 실행하도록 구성됩니다. 이는 Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox 및 Opera와 같은 웹 브라우저뿐만 아니라 Discord 및 Telegram 데이터에서 쿠키, 자격 증명 및 금융 정보를 도용하고 스크린샷을 캡처하는 데 도움이 됩니다.

또한 XClient는 피해자의 Facebook, Instagram, TikTok 및 YouTube 계정에서 데이터를 추출하여 Facebook 비즈니스 및 광고 계정과 관련된 결제 방법 및 권한에 대한 정보를 얻도록 설계되었습니다.

Quasar RAT 클라이언트의 맞춤형 변종인 RotBot은 위협 행위자가 이 캠페인을 위해 특별히 맞춤 제작하고 컴파일했습니다. 또한 XClient는 플러그인 모듈과 원격 관리 작업 실행을 위한 다양한 기능을 통해 광범위한 정보 도용 기능을 자랑합니다.

Infostealer는 수많은 분야를 표적으로 삼는 상당한 위협으로 남아 있습니다.

Facebook의 악성 광고 캠페인은 생성 AI 도구를 둘러싼 과대광고를 이용하여 Rilide, Vidar, IceRAT 및 새로 등장한 Nova Stealer와 같은 다양한 정보 도용자를 홍보하고 있습니다.

공격은 위협 행위자가 기존 Facebook 계정의 제어권을 장악하고 Google, OpenAI 및 Midjourney의 인기 AI 도구와 유사하게 외관을 변경하는 것으로 시작됩니다. 그들은 플랫폼에서 후원 광고를 게재하여 영향력을 확장합니다.

예를 들어, Midjourney로 위장한 위조 페이지는 2023년 3월 8일 폐쇄되기 전까지 120만 명의 팔로워를 확보했습니다. 이 페이지 뒤의 개인은 주로 베트남, 미국, 인도네시아, 영국 및 호주에 거주했습니다.

이러한 악성 광고 캠페인은 Meta의 스폰서 광고 시스템을 활용하여 독일, 폴란드, 이탈리아, 프랑스, 벨기에, 스페인, 네덜란드, 루마니아, 스웨덴 등의 국가에 있는 유럽 사용자를 적극적으로 타겟팅하여 광범위한 홍보를 달성합니다.

트렌드

Capcheck.co.in

Rogue Websites, Adware, Browser Hijackers
Capcheck.co.in은 신뢰할 수 없는 웹사이트입니다. 실제로 이는 개인적인 이익을 위해 컴퓨터 사용자를 착취하려는 개인이 제작한 것입니다. 이 사이트는 기만적인 전술을 사용하여 푸시 알림의 실제 목적과 기능을 왜곡하는 오해의 소지가 있는 메시지를 통해 사용자를 유혹하여 푸시 알림을 활성화합니다. 권한이 부여되면 Capcheck.co.in은...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
75,552
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
60,296
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...