RotBot skadelig programvare

En gruppe som antas å stamme fra Vietnam har blitt identifisert som målrettet mot individer på tvers av ulike asiatiske og sørøstasiatiske nasjoner med truende programvare rettet mot å trekke ut verdifull informasjon siden minst mai 2023. Kjent som CoralRaider, overvåker cybersikkerhetseksperter denne operasjonen nøye, og noterer dens økonomiske motiver. Kampanjens fokuspunkter inkluderer India, Kina, Sør-Korea, Bangladesh, Pakistan, Indonesia og Vietnam.

Dette nettkriminelle syndikatet spesialiserer seg på å stjele legitimasjon, økonomiske poster og profiler på sosiale medier, som omfatter både personlige og forretningskontoer. Deres arsenal for dette spesielle angrepet inkluderer RotBot, en tilpasset versjon av Quasar RAT og XClient-tyveren. I tillegg distribuerer de en rekke off-the-sokkel skadelig programvare, som AsyncRAT , NetSupport RAT og Rhadamanthys , med sikte på å få ekstern tilgang og hente informasjon fra kompromitterte systemer.

Nettkriminelle har som mål å kompromittere sensitiv informasjon fra utvalgte mål

Angripere med opprinnelse fra Vietnam har lagt betydelig vekt på å infiltrere forretnings- og reklamekontoer, ved å bruke en rekke tyveriske skadevarefamilier som Ducktail , NodeStealer og VietCredCare for å ta kontroll over disse kontoene for påfølgende inntektsgenerering.

Deres modus operandi innebærer bruk av Telegram for å overføre den stjålne informasjonen fra ofrenes maskiner, som deretter utveksles i hemmelige markeder for å generere ulovlig fortjeneste.

Bevis tyder på at operatørene av CoralRaider er lokalisert i Vietnam, som indikert av meldingene fra aktørene i deres Telegram Command and Control (C2) bot-kanaler, samt deres preferanse for det vietnamesiske språket når de navngir robotene deres, PDB-strenger og andre vietnamesiske termer hardkodet i deres nyttelastbinære filer.

En flertrinns infeksjonskjede leverer RotBot-malware-trusselen

Angrepssekvensen starter med en Windows-snarveisfil (LNK), selv om metoden for distribusjon til mål fortsatt er uklar. Når LNK-filen åpnes, lastes en HTML-applikasjonsfil (HTA) ned og kjøres fra en server kontrollert av angriperen, og kjører deretter et innebygd Visual Basic-skript.

Dette skriptet, på sin side, dekrypterer og kjører sekvensielt tre ekstra PowerShell-skript som er ansvarlige for å utføre anti-VM- og antianalysesjekker, omgå Windows User Access Control (UAC), deaktivere Windows- og applikasjonsvarsler og laste ned og kjøre RotBot.

RotBot er konfigurert til å kommunisere med en Telegram-bot, hente og kjøre XClient-tyveren malware i minnet. Dette letter tyveri av informasjonskapsler, legitimasjon og finansiell informasjon fra nettlesere som Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox og Opera, samt Discord- og Telegram-data og tar skjermbilder.

Videre er XClient designet for å trekke ut data fra ofrenes Facebook-, Instagram-, TikTok- og YouTube-kontoer, for å skaffe informasjon om betalingsmåter og tillatelser knyttet til deres Facebook-virksomhet og annonsekontoer.

RotBot, en tilpasset variant av Quasar RAT-klienten, har blitt skreddersydd og kompilert spesielt for denne kampanjen av trusselaktøren. I tillegg kan XClient skryte av omfattende informasjonsstjelingsmuligheter gjennom sin plugin-modul og ulike funksjoner for å utføre eksterne administrative oppgaver.

Infostealere er fortsatt en betydelig trussel mot en rekke sektorer

En malvertising-kampanje på Facebook utnytter hypen rundt generative AI-verktøy for å promotere ulike informasjonstyvere som Rilide, Vidar, IceRAT og en nylig oppstått trussel kalt Nova Stealer.

Angrepet begynner med at trusselaktøren tar kontroll over en eksisterende Facebook-konto og endrer utseendet til å ligne populære AI-verktøy fra Google, OpenAI og Midjourney. De utvider sin innflytelse ved å kjøre sponsede annonser på plattformen.

For eksempel samlet en forfalsket side som utgir seg som Midjourney 1,2 millioner følgere før den ble stengt 8. mars 2023. Personene bak disse sidene var hovedsakelig lokalisert i blant annet Vietnam, USA, Indonesia, Storbritannia og Australia.

Disse malvertising-kampanjene utnytter Metas sponsede annonsesystem for å oppnå omfattende oppsøking, aktivt målrettet mot europeiske brukere i land som Tyskland, Polen, Italia, Frankrike, Belgia, Spania, Nederland, Romania, Sverige og utover.