„RotBot“ kenkėjiška programa
Nustatyta, kad grupė, kuri, kaip manoma, kilusi iš Vietnamo, taikėsi į asmenis įvairiose Azijos ir Pietryčių Azijos šalyse, naudodama grasinančią programinę įrangą, kuria siekiama gauti vertingos informacijos bent jau nuo 2023 m. gegužės mėn. Kibernetinio saugumo ekspertai, žinomi kaip CoralRaider, atidžiai stebi šią operaciją, atkreipdami dėmesį į jos finansinius motyvus. Kampanijos centre yra Indija, Kinija, Pietų Korėja, Bangladešas, Pakistanas, Indonezija ir Vietnamas.
Šis kibernetinių nusikaltėlių sindikatas specializuojasi kredencialų, finansinių įrašų ir socialinės žiniasklaidos profilių, apimančių tiek asmenines, tiek verslo paskyras, grobstymu. Jų arsenale šiam konkrečiam puolimui yra RotBot, pritaikyta Quasar RAT versija ir XClient vagystė. Be to, jie diegia daugybę jau paruoštų kenkėjiškų programų, pvz., AsyncRAT , NetSupport RAT ir Rhadamanthys , skirtų nuotolinei prieigai gauti ir informacijai iš pažeistų sistemų gauti.
Turinys
Kibernetiniai nusikaltėliai siekia sukompromituoti jautrią informaciją iš pasirinktų taikinių
Užpuolikai, kilę iš Vietnamo, daug dėmesio skyrė įsiskverbimui į verslo ir reklamos paskyras, pasitelkdami įvairias kenkėjiškų programų šeimas, pvz., „Ducktail “, „NodeStealer“ ir „VietCredCare“ , kad perimtų šių paskyrų kontrolę ir vėliau gautų pajamų.
Jų veikimo būdas apima „Telegram“ naudojimą, kad būtų perduota iš aukų aparatų pavogta informacija, kuria vėliau keičiamasi slaptose rinkose siekiant gauti neteisėtą pelną.
Įrodymai rodo, kad „CoralRaider“ operatoriai yra Vietname, kaip rodo veikėjų pranešimai jų „Telegram Command and Control“ (C2) robotų kanaluose, taip pat jų pirmenybė vietnamiečių kalbai pavadindami savo robotus, PBP eilutes ir kiti vietnamiečių terminai, užkoduoti jų naudingosios apkrovos dvejetainiuose failuose.
Daugiapakopė infekcijos grandinė kelia „RotBot“ kenkėjiškų programų grėsmę
Atakos seka pradedama naudojant „Windows“ nuorodų failą (LNK), nors paskirstymo taikiniams metodas lieka neaiškus. Atidarius LNK failą, HTML programos (HTA) failas atsisiunčiamas ir vykdomas iš užpuoliko valdomo serverio, vėliau paleidžiamas įdėtasis Visual Basic scenarijus.
Šis scenarijus savo ruožtu iššifruoja ir nuosekliai vykdo tris papildomus „PowerShell“ scenarijus, atsakingus už anti-VM ir anti-analizės patikras, apeinant „Windows User Access Control“ (UAC), išjungiant „Windows“ ir taikomųjų programų pranešimus bei „RotBot“ atsisiuntimą ir vykdymą.
„RotBot“ yra sukonfigūruotas bendrauti su „Telegram“ robotu, atmintyje nuskaitydamas ir vykdydamas „XClient“ vagystės kenkėjišką programą. Tai palengvina slapukų, kredencialų ir finansinės informacijos vagystę iš interneto naršyklių, tokių kaip „Brave“, „Cốc Cốc“, „Google Chrome“, „Microsoft Edge“, „Mozilla Firefox“ ir „Opera“, taip pat „Discord“ ir „Telegram“ duomenis ir fiksuoja ekrano kopijas.
Be to, „XClient“ skirta išgauti duomenis iš aukų „Facebook“, „Instagram“, „TikTok“ ir „YouTube“ paskyrų, gauti informaciją apie mokėjimo būdus ir leidimus, susijusius su jų „Facebook“ verslu ir reklamos paskyromis.
„RotBot“, pritaikytą Quasar RAT kliento variantą, specialiai šiai kampanijai pritaikė ir sukompiliavo grėsmės veikėjas. Be to, XClient gali pasigirti plačiomis informacijos vagystės galimybėmis per savo papildinio modulį ir įvairias funkcijas, skirtas nuotolinėms administravimo užduotims atlikti.
Infostealers tebėra didelė grėsmė, nukreipta į daugelį sektorių
Netinkama reklamavimo kampanija „Facebook“ naudojasi ažiotažu, susijusiu su generatyviais AI įrankiais, siekiant reklamuoti įvairius informacijos vagystes, tokias kaip „Rilide“, „Vidar“, „IceRAT“ , ir naujai iškilusią grėsmę „Nova Stealer“.
Išpuolis prasideda grėsmės veikėjui perimant esamos „Facebook“ paskyros kontrolę ir pakeičiant jos išvaizdą, kad ji būtų panaši į populiarius „Google“, „OpenAI“ ir „Midjourney“ AI įrankius. Jie išplečia savo įtaką platformoje rodydami remiamas reklamas.
Pavyzdžiui, suklastotas puslapis, apsimetęs kaip Midjourney, surinko 1,2 mln. sekėjų, kol jis buvo uždarytas 2023 m. kovo 8 d. Šiais puslapiais slypintys asmenys daugiausia buvo Vietname, JAV, Indonezijoje, JK ir Australijoje, be kitų šalių.
Šios netinkamos reklamos kampanijos panaudoja „Meta“ remiamą skelbimų sistemą, kad pasiektų platų aprėptį, aktyviai taikydamos Europos naudotojus tokiose šalyse kaip Vokietija, Lenkija, Italija, Prancūzija, Belgija, Ispanija, Nyderlandai, Rumunija, Švedija ir kitose šalyse.
