RotBot Malware

Sebuah kumpulan yang dipercayai berasal dari Vietnam telah dikenal pasti menyasarkan individu merentasi pelbagai negara Asia dan Asia Tenggara dengan perisian mengancam yang bertujuan untuk mengekstrak maklumat berharga sejak sekurang-kurangnya Mei 2023. Dikenali sebagai CoralRaider, pakar keselamatan siber memantau dengan teliti operasi ini, dengan mengambil kira motif kewangannya. Tumpuan kempen termasuk India, China, Korea Selatan, Bangladesh, Pakistan, Indonesia dan Vietnam.

Sindiket penjenayah siber ini pakar dalam merompak bukti kelayakan, rekod kewangan dan profil media sosial, merangkumi akaun peribadi dan perniagaan. Senjata mereka untuk serangan khusus ini termasuk RotBot, versi tersuai Quasar RAT dan pencuri XClient. Selain itu, mereka menggunakan pelbagai perisian hasad luar biasa, seperti AsyncRAT , NetSupport RAT dan Rhadamanthys , yang bertujuan untuk mendapatkan akses jauh dan menyedut maklumat daripada sistem yang terjejas.

Penjenayah Siber Bertujuan untuk Mengkompromi Maklumat Sensitif daripada Sasaran Terpilih

Penyerang yang berasal dari Vietnam telah memberikan penekanan yang ketara pada akaun perniagaan dan pengiklanan yang menyusup, menggunakan pelbagai keluarga perisian hasad pencuri seperti Ducktail , NodeStealer dan VietCredCare untuk merebut kawalan ke atas akaun ini untuk pengewangan berikutnya.

Modus operandi mereka melibatkan penggunaan Telegram untuk menghantar maklumat yang dicuri daripada mesin mangsa, yang kemudiannya ditukar dalam pasaran rahsia untuk menjana keuntungan yang menyalahi undang-undang.

Bukti menunjukkan bahawa pengendali CoralRaider terletak di Vietnam, seperti yang ditunjukkan oleh mesej daripada pelakon dalam saluran bot Telegram Command and Control (C2), serta keutamaan mereka untuk bahasa Vietnam dalam menamakan bot mereka, rentetan PDB, dan istilah Vietnam lain yang dikodkan dalam perduaan muatan mereka.

Rantaian Jangkitan Berbilang peringkat Menyampaikan Ancaman Peribadi RotBot

Urutan serangan dimulakan dengan fail pintasan Windows (LNK), walaupun kaedah pengedaran kepada sasaran masih tidak jelas. Selepas membuka fail LNK, fail aplikasi HTML (HTA) dimuat turun dan dilaksanakan daripada pelayan yang dikawal oleh penyerang, seterusnya menjalankan skrip Visual Basic terbenam.

Skrip ini, seterusnya, menyahsulit dan melaksanakan secara berurutan tiga skrip PowerShell tambahan yang bertanggungjawab untuk menjalankan pemeriksaan anti-VM dan anti-analisis, memintas Kawalan Akses Pengguna Windows (UAC), menyahaktifkan pemberitahuan Windows dan aplikasi serta memuat turun dan melaksanakan RotBot.

RotBot dikonfigurasikan untuk berkomunikasi dengan bot Telegram, mendapatkan semula dan melaksanakan perisian hasad pencuri XClient dalam ingatan. Ini memudahkan pencurian kuki, bukti kelayakan dan maklumat kewangan daripada pelayar Web seperti Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox dan Opera, serta data Discord dan Telegram serta menangkap tangkapan skrin.

Tambahan pula, XClient direka untuk mengekstrak data daripada akaun Facebook, Instagram, TikTok dan YouTube mangsa, mendapatkan maklumat tentang kaedah pembayaran dan kebenaran yang dikaitkan dengan akaun perniagaan dan pengiklanan Facebook mereka.

RotBot, varian tersuai pelanggan Quasar RAT, telah disesuaikan dan disusun khusus untuk kempen ini oleh pelakon ancaman. Selain itu, XClient menawarkan keupayaan mencuri maklumat yang luas melalui modul pemalamnya dan pelbagai fungsi untuk melaksanakan tugas pentadbiran jauh.

Pencurian maklumat Kekal Ancaman Besar yang Menyasarkan Banyak Sektor

Kempen malvertising di Facebook mengeksploitasi gembar-gembur sekitar alat AI generatif untuk mempromosikan pelbagai pencuri maklumat seperti Rilide, Vidar, IceRAT dan ancaman yang baru muncul dipanggil Nova Stealer.

Serangan bermula dengan pelakon ancaman merampas kawalan akaun Facebook sedia ada dan mengubah penampilannya untuk menyerupai alat AI popular daripada Google, OpenAI dan Midjourney. Mereka meluaskan pengaruh mereka dengan menyiarkan iklan tajaan di platform.

Sebagai contoh, halaman palsu yang menyamar sebagai Midjourney mengumpulkan 1.2 juta pengikut sebelum ia ditutup pada 8 Mac 2023. Individu di sebalik halaman ini kebanyakannya berada di Vietnam, AS, Indonesia, UK dan Australia, antara negara lain.

Kempen malvertising ini memanfaatkan sistem iklan tajaan Meta untuk mencapai jangkauan yang meluas, secara aktif menyasarkan pengguna Eropah di negara seperti Jerman, Poland, Itali, Perancis, Belgium, Sepanyol, Belanda, Romania, Sweden dan seterusnya.