RotBot ļaunprātīga programmatūra
Ir konstatēts, ka grupa, kuras izcelsme ir Vjetnamā, ir vērsta pret personām dažādās Āzijas un Dienvidaustrumāzijas valstīs ar draudošu programmatūru, kuras mērķis ir iegūt vērtīgu informāciju vismaz kopš 2023. gada maija. Kiberdrošības eksperti, kas pazīstami kā CoralRaider, rūpīgi uzrauga šo operāciju, atzīmējot tās finansiālos motīvus. Kampaņas fokusa punkti ir Indija, Ķīna, Dienvidkoreja, Bangladeša, Pakistāna, Indonēzija un Vjetnama.
Šis kibernoziedznieku sindikāts specializējas akreditācijas datu, finanšu ierakstu un sociālo mediju profilu zādzībās, aptverot gan personiskos, gan biznesa kontus. Viņu arsenālā šim konkrētajam uzbrukumam ir RotBot, pielāgota Quasar RAT versija un XClient zaglis. Turklāt tie izvieto virkni jau pieejamu ļaunprogrammatūru, piemēram, AsyncRAT , NetSupport RAT un Rhadamanthys , kuru mērķis ir iegūt attālinātu piekļuvi un izsūknēt informāciju no apdraudētām sistēmām.
Satura rādītājs
Kibernoziedznieku mērķis ir apdraudēt sensitīvu informāciju no atlasītajiem mērķiem
Uzbrucēji no Vjetnamas ir likuši lielu uzsvaru uz iefiltrēšanos biznesa un reklāmu kontos, izmantojot dažādas zagļu ļaunprātīgas programmatūras ģimenes, piemēram, Ducktail , NodeStealer un VietCredCare , lai pārņemtu kontroli pār šiem kontiem turpmākai monetizācijai.
Viņu darbības veids ir saistīts ar Telegram izmantošanu, lai pārsūtītu no upuru iekārtām nozagto informāciju, kas pēc tam tiek apmainīta slepenajos tirgos, lai gūtu nelikumīgu peļņu.
Pierādījumi liecina, ka CoralRaider operatori atrodas Vjetnamā, par ko liecina ziņojumi no dalībniekiem viņu Telegram Command and Control (C2) robotu kanālos, kā arī viņu priekšroka vjetnamiešu valodai, nosaucot savus robotus, PBP virknes un citi vjetnamiešu termini, kas ir iekodēti to derīgās slodzes bināros failos.
Daudzpakāpju infekcijas ķēde nodrošina RotBot ļaunprātīgas programmatūras draudus
Uzbrukuma secība sākas ar Windows saīsnes failu (LNK), lai gan izplatīšanas metode mērķiem joprojām nav skaidra. Atverot LNK failu, no uzbrucēja kontrolēta servera tiek lejupielādēts un izpildīts HTML lietojumprogrammas (HTA) fails, pēc tam palaižot iegulto Visual Basic skriptu.
Šis skripts, savukārt, atšifrē un secīgi izpilda trīs papildu PowerShell skriptus, kas ir atbildīgi par anti-VM un anti-analīzes pārbaužu veikšanu, Windows lietotāja piekļuves kontroles (UAC) apiešanu, Windows un lietojumprogrammu paziņojumu deaktivizēšanu un RotBot lejupielādi un izpildi.
RotBot ir konfigurēts, lai sazinātos ar Telegram robotu, izgūstot un izpildot XClient zagļa ļaunprogrammatūru atmiņā. Tas atvieglo sīkfailu, akreditācijas datu un finanšu informācijas zādzību no tādām tīmekļa pārlūkprogrammām kā Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox un Opera, kā arī Discord un Telegram datus un tver ekrānuzņēmumus.
Turklāt XClient ir paredzēts, lai iegūtu datus no upuru Facebook, Instagram, TikTok un YouTube kontiem, iegūstot informāciju par maksājumu metodēm un atļaujām, kas saistītas ar viņu Facebook biznesa un reklāmas kontiem.
RotBot, pielāgotu Quasar RAT klienta variantu, ir īpaši šai kampaņai pielāgojis un apkopojis draudu aktieris. Turklāt XClient lepojas ar plašām informācijas zagšanas iespējām, izmantojot spraudņa moduli un dažādas funkcijas attālu administratīvo uzdevumu izpildei.
Informācijas zagļi joprojām ir ievērojams apdraudējums, kas vērsts uz daudzām nozarēm
Ļaunprātīga kampaņa Facebook izmanto ažiotāžu, kas saistīta ar ģeneratīvajiem mākslīgā intelekta rīkiem, lai reklamētu dažādus informācijas zagļus, piemēram, Rilide, Vidar, IceRAT un jaunizveidoto draudu Nova Stealer.
Uzbrukums sākas ar to, ka draudu aktieris pārņem kontroli pār esošu Facebook kontu un maina tā izskatu, lai tas atgādinātu populārus Google, OpenAI un Midjourney AI rīkus. Viņi paplašina savu ietekmi, platformā rādot sponsorētas reklāmas.
Piemēram, viltotai lapai, kas izlikta kā Midjourney, bija 1,2 miljoni sekotāju, pirms tā tika slēgta 2023. gada 8. martā. Personas, kas atradās aiz šīm lapām, galvenokārt atradās Vjetnamā, ASV, Indonēzijā, Apvienotajā Karalistē un Austrālijā, kā arī citās valstīs.
Šīs ļaunprātīgās reklāmas kampaņas izmanto Meta sponsorēto reklāmu sistēmu, lai sasniegtu plašu mērķauditoriju, aktīvi mērķējot uz Eiropas lietotājiem tādās valstīs kā Vācija, Polija, Itālija, Francija, Beļģija, Spānija, Nīderlande, Rumānija, Zviedrija un citur.
