RotBot-malware
Er is vastgesteld dat een groep die vermoedelijk afkomstig is uit Vietnam zich sinds minstens mei 2023 richt op individuen in verschillende Aziatische en Zuidoost-Aziatische landen met bedreigende software gericht op het extraheren van waardevolle informatie. Cyberbeveiligingsexperts, bekend als CoralRaider, houden deze operatie nauwlettend in de gaten en wijzen op de financiële motieven ervan. De speerpunten van de campagne zijn India, China, Zuid-Korea, Bangladesh, Pakistan, Indonesië en Vietnam.
Dit cybercriminele syndicaat is gespecialiseerd in het stelen van inloggegevens, financiële gegevens en sociale-mediaprofielen, die zowel persoonlijke als zakelijke accounts omvatten. Hun arsenaal voor deze specifieke aanval omvat RotBot, een aangepaste versie van Quasar RAT en de XClient-stealer. Daarnaast zetten ze een reeks kant-en-klare malware in, zoals AsyncRAT , de NetSupport RAT en Rhadamanthys , gericht op het verkrijgen van externe toegang en het overhevelen van informatie van aangetaste systemen.
Inhoudsopgave
Cybercriminelen proberen gevoelige informatie van geselecteerde doelwitten te compromitteren
Aanvallers afkomstig uit Vietnam hebben veel nadruk gelegd op het infiltreren van bedrijfs- en advertentieaccounts, waarbij ze verschillende stealer-malwarefamilies zoals Ducktail , NodeStealer en VietCredCare gebruiken om de controle over deze accounts over te nemen om er vervolgens inkomsten mee te genereren.
Hun modus operandi omvat het gebruik van Telegram om de gestolen informatie van de machines van de slachtoffers door te geven, die vervolgens op clandestiene markten wordt uitgewisseld om onwettige winsten te genereren.
Er zijn aanwijzingen dat de operators van CoralRaider zich in Vietnam bevinden, zoals blijkt uit de berichten van de actoren in hun Telegram Command and Control (C2) botkanalen, evenals hun voorkeur voor de Vietnamese taal bij het benoemen van hun bots, PDB-strings en andere Vietnamese termen zijn hardgecodeerd in hun binaire bestanden.
Een meerfasige infectieketen levert de RotBot-malwaredreiging op
De aanvalsreeks begint met een Windows-snelkoppelingsbestand (LNK), hoewel de distributiemethode naar doelen onduidelijk blijft. Bij het openen van het LNK-bestand wordt een HTML-toepassingsbestand (HTA) gedownload en uitgevoerd vanaf een server die wordt beheerd door de aanvaller, waarna een ingesloten Visual Basic-script wordt uitgevoerd.
Dit script decodeert en voert op zijn beurt drie extra PowerShell-scripts uit die verantwoordelijk zijn voor het uitvoeren van anti-VM- en anti-analysecontroles, het omzeilen van Windows User Access Control (UAC), het deactiveren van Windows- en applicatiemeldingen, en het downloaden en uitvoeren van RotBot.
RotBot is geconfigureerd om te communiceren met een Telegram-bot, waarbij de XClient-stealer-malware in het geheugen wordt opgehaald en uitgevoerd. Dit vergemakkelijkt de diefstal van cookies, inloggegevens en financiële informatie uit webbrowsers zoals Brave, Google Chrome, Microsoft Edge, Mozilla Firefox en Opera, evenals Discord- en Telegram-gegevens en maakt screenshots.
Bovendien is XClient ontworpen om gegevens uit de Facebook-, Instagram-, TikTok- en YouTube-accounts van slachtoffers te extraheren en informatie te verkrijgen over betaalmethoden en toestemmingen die verband houden met hun Facebook-bedrijfs- en advertentieaccounts.
RotBot, een aangepaste variant van de Quasar RAT-client, is speciaal voor deze campagne op maat gemaakt en samengesteld door de bedreigingsacteur. Bovendien beschikt XClient over uitgebreide mogelijkheden voor het stelen van informatie via de plug-inmodule en verschillende functionaliteiten voor het uitvoeren van administratieve taken op afstand.
Infostealers blijven een aanzienlijke bedreiging die zich op tal van sectoren richt
Een malvertisingcampagne op Facebook maakt gebruik van de hype rond generatieve AI-tools om verschillende informatiestelers zoals Rilide, Vidar, IceRAT en een nieuw opgedoken dreiging genaamd Nova Stealer te promoten.
De aanval begint wanneer de bedreigingsacteur de controle over een bestaand Facebook-account overneemt en het uiterlijk ervan verandert zodat het lijkt op populaire AI-tools van Google, OpenAI en Midjourney. Ze vergroten hun invloed door gesponsorde advertenties op het platform te plaatsen.
Een namaakpagina die zich voordeed als Midjourney verzamelde bijvoorbeeld 1,2 miljoen volgers voordat deze op 8 maart 2023 werd gesloten. De personen achter deze pagina's bevonden zich voornamelijk in onder meer Vietnam, de VS, Indonesië, het VK en Australië.
Deze malvertisingcampagnes maken gebruik van het gesponsorde advertentiesysteem van Meta om een uitgebreid bereik te bereiken en richten zich actief op Europese gebruikers in landen als Duitsland, Polen, Italië, Frankrijk, België, Spanje, Nederland, Roemenië, Zweden en daarbuiten.
