RotBot मालवेयर
भियतनामबाट उत्पत्ति भएको विश्वास गरिएको एउटा समूहले कम्तीमा मे २०२३ देखि बहुमूल्य जानकारी निकाल्ने उद्देश्यले धम्की दिने सफ्टवेयरले विभिन्न एसियाली र दक्षिणपूर्वी एसियाली राष्ट्रहरूमा व्यक्तिहरूलाई लक्षित गरेको रूपमा पहिचान गरिएको छ। CoralRaider भनेर चिनिने, साइबरसुरक्षा विशेषज्ञहरूले यसको वित्तीय उद्देश्यलाई ध्यानमा राख्दै यस कार्यलाई नजिकबाट निगरानी गर्छन्। अभियानको केन्द्रविन्दुमा भारत, चीन, दक्षिण कोरिया, बंगलादेश, पाकिस्तान, इन्डोनेसिया र भियतनाम समावेश छन्।
यो साइबर क्रिमिनल सिन्डिकेटले व्यक्तिगत र व्यापार खाता दुवैलाई समेटेर प्रमाणहरू, वित्तीय रेकर्डहरू, र सामाजिक सञ्जाल प्रोफाइलहरू चोरी गर्नमा विशेषज्ञता दिन्छ। यस विशेष आक्रमणको लागि तिनीहरूको शस्त्रागारमा RotBot, Quasar RAT को अनुकूलित संस्करण र XClient स्टिलर समावेश छ। थप रूपमा, तिनीहरूले अफ-द-शेल्फ मालवेयरको दायरा तैनात गर्छन्, जस्तै AsyncRAT , NetSupport RAT , र Rhadamanthys , जसको उद्देश्य रिमोट पहुँच प्राप्त गर्ने र सम्झौता प्रणालीहरूबाट जानकारी सिफन गर्ने हो।
सामग्रीको तालिका
साइबर अपराधीहरूले चयन गरिएका लक्ष्यहरूबाट संवेदनशील जानकारीमा सम्झौता गर्ने लक्ष्य राख्छन्
भियतनामबाट उत्पत्ति भएका आक्रमणकारीहरूले व्यापार र विज्ञापन खाताहरूमा घुसपैठ गर्नमा महत्त्वपूर्ण जोड दिएका छन्, पछिल्ला मुद्रीकरणका लागि यी खाताहरूको नियन्त्रण कब्जा गर्न डकटेल , नोडस्टेलर र भियतक्रेडकेयर जस्ता विभिन्न चोर मालवेयर परिवारहरूलाई रोजगारी दिएका छन्।
तिनीहरूको मोडस अपरेन्डीमा पीडितका मेसिनहरूबाट चोरी गरिएका जानकारीहरू प्रसारण गर्न टेलिग्रामको प्रयोग समावेश छ, जुन त्यसपछि गैरकानूनी नाफा कमाउन गुप्त बजारहरूमा आदानप्रदान गरिन्छ।
प्रमाणहरूले सुझाव दिन्छ कि CoralRaider को अपरेटरहरू भियतनाममा अवस्थित छन्, जसरी कलाकारहरूको टेलिग्राम कमाण्ड एन्ड कन्ट्रोल (C2) बट च्यानलहरूका सन्देशहरू, साथै तिनीहरूको बटहरू, PDB स्ट्रिङहरू, र नामकरणमा भियतनामी भाषाको लागि उनीहरूको प्राथमिकता। अन्य भियतनामी सर्तहरू तिनीहरूको पेलोड बाइनरीहरूमा हार्डकोड गरिएका छन्।
एक बहु-चरण संक्रमण श्रृंखलाले RotBot मालवेयर खतरा प्रदान गर्दछ
विन्डोज सर्टकट फाइल (LNK) सँग आक्रमणको क्रम सुरु हुन्छ, यद्यपि लक्ष्यहरूमा वितरणको विधि अस्पष्ट रहन्छ। LNK फाइल खोल्दा, एक HTML एप्लिकेसन (HTA) फाइल डाउनलोड हुन्छ र आक्रमणकर्ताद्वारा नियन्त्रित सर्भरबाट कार्यान्वयन हुन्छ, पछि इम्बेडेड भिजुअल बेसिक स्क्रिप्ट चलाउँछ।
यस स्क्रिप्टले बारीमा, एन्टी-VM र एन्टि-विश्लेषण जाँचहरू सञ्चालन गर्न, Windows प्रयोगकर्ता पहुँच नियन्त्रण (UAC) लाई बाइपास गरेर, Windows र अनुप्रयोग सूचनाहरू निष्क्रिय गर्ने, र RotBot डाउनलोड र कार्यान्वयन गर्न जिम्मेवार तीन अतिरिक्त PowerShell स्क्रिप्टहरू डिक्रिप्ट र क्रमिक रूपमा कार्यान्वयन गर्दछ।
RotBot लाई टेलिग्राम बटसँग सञ्चार गर्न कन्फिगर गरिएको छ, मेमोरीमा XClient स्टिलर मालवेयर पुन: प्राप्ति र कार्यान्वयन गर्दै। यसले वेब ब्राउजरहरू जस्तै Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, र Opera, साथै Discord र Telegram डेटा र स्क्रिनसटहरू क्याप्चर गर्ने कुकीहरू, प्रमाणहरू, र वित्तीय जानकारीको चोरीलाई सहज बनाउँछ।
यसबाहेक, XClient लाई पीडितहरूको Facebook, Instagram, TikTok, र YouTube खाताहरूबाट डाटा निकाल्न, भुक्तानी विधिहरू र तिनीहरूको Facebook व्यवसाय र विज्ञापन खाताहरूसँग सम्बन्धित अनुमतिहरू बारे जानकारी प्राप्त गर्न डिजाइन गरिएको हो।
RotBot, Quasar RAT क्लाइन्टको अनुकूलित संस्करण, विशेष गरी यो अभियानको लागि खतरा अभिनेता द्वारा अनुकूल र कम्पाइल गरिएको छ। थप रूपमा, XClient ले यसको प्लगइन मोड्युल र टाढाको प्रशासनिक कार्यहरू कार्यान्वयन गर्नका लागि विभिन्न प्रकार्यहरू मार्फत विस्तृत जानकारी-चोरी क्षमताहरू गर्व गर्दछ।
इन्फोस्टेलरहरू धेरै क्षेत्रहरूलाई लक्षित गर्दै एक महत्वपूर्ण खतरा बनेका छन्
Facebook मा खराब प्रचार अभियानले Rilide, Vidar, IceRAT र नोभा स्टिलर नामक नयाँ उभिएको खतरा जस्ता विभिन्न सूचना चोर्नेहरूलाई प्रवर्द्धन गर्न जेनेरेटिभ एआई उपकरणहरूको वरपरको हाइपको शोषण गरिरहेको छ।
आक्रमणको सुरुवात खतरा अभिनेताले अवस्थित फेसबुक खाताको नियन्त्रण कब्जा गरेर गुगल, ओपनएआई र मिडजर्नीका लोकप्रिय एआई उपकरणहरू जस्तो देखिने गरी यसको रूप परिवर्तन गरेर सुरु हुन्छ। तिनीहरू प्लेटफर्ममा प्रायोजित विज्ञापनहरू चलाएर आफ्नो प्रभाव विस्तार गर्छन्।
उदाहरणका लागि, मार्च ८, २०२३ मा बन्द हुनुअघि मिडजर्नीको रूपमा प्रस्तुत गरिएको नक्कली पृष्ठले १२ लाख फलोअरहरू जम्मा गरिसकेको थियो। यी पृष्ठहरू पछाडि रहेका व्यक्तिहरू मुख्यतया भियतनाम, अमेरिका, इन्डोनेसिया, बेलायत र अष्ट्रेलियालगायत अन्य देशहरूमा रहेका थिए।
यी खराब अभियानहरूले जर्मनी, पोल्याण्ड, इटाली, फ्रान्स, बेल्जियम, स्पेन, नेदरल्यान्ड्स, रोमानिया, स्वीडेन र बाहिरका देशहरूमा युरोपेली प्रयोगकर्ताहरूलाई सक्रिय रूपमा लक्षित गर्दै व्यापक पहुँच प्राप्त गर्न मेटाको प्रायोजित विज्ञापन प्रणालीको लाभ उठाउँछन्।
