RotBot ਮਾਲਵੇਅਰ
ਵਿਅਤਨਾਮ ਤੋਂ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਇੱਕ ਸਮੂਹ ਦੀ ਪਛਾਣ ਘੱਟੋ-ਘੱਟ ਮਈ 2023 ਤੋਂ ਕੀਮਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਧਮਕੀ ਭਰੇ ਸੌਫਟਵੇਅਰ ਨਾਲ ਵੱਖ-ਵੱਖ ਏਸ਼ੀਆਈ ਅਤੇ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆਈ ਦੇਸ਼ਾਂ ਵਿੱਚ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਮੁਹਿੰਮ ਦੇ ਕੇਂਦਰ ਬਿੰਦੂਆਂ ਵਿੱਚ ਭਾਰਤ, ਚੀਨ, ਦੱਖਣੀ ਕੋਰੀਆ, ਬੰਗਲਾਦੇਸ਼, ਪਾਕਿਸਤਾਨ, ਇੰਡੋਨੇਸ਼ੀਆ ਅਤੇ ਵੀਅਤਨਾਮ ਸ਼ਾਮਲ ਹਨ।
ਇਹ ਸਾਈਬਰ ਕ੍ਰਿਮੀਨਲ ਸਿੰਡੀਕੇਟ ਨਿੱਜੀ ਅਤੇ ਵਪਾਰਕ ਖਾਤਿਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ, ਵਿੱਤੀ ਰਿਕਾਰਡਾਂ ਅਤੇ ਸੋਸ਼ਲ ਮੀਡੀਆ ਪ੍ਰੋਫਾਈਲਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਵਿੱਚ ਮਾਹਰ ਹੈ। ਇਸ ਖਾਸ ਹਮਲੇ ਲਈ ਉਹਨਾਂ ਦੇ ਅਸਲੇ ਵਿੱਚ RotBot, Quasar RAT ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ ਅਤੇ XClient ਸਟੀਲਰ ਸ਼ਾਮਲ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਆਫ-ਦ-ਸ਼ੈਲਫ ਮਾਲਵੇਅਰ ਦੀ ਇੱਕ ਰੇਂਜ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ AsyncRAT , NetSupport RAT , ਅਤੇ Rhadamanthys , ਜਿਸਦਾ ਉਦੇਸ਼ ਰਿਮੋਟ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦਾ ਉਦੇਸ਼ ਚੁਣੇ ਹੋਏ ਟੀਚਿਆਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ ਹੈ
ਵਿਅਤਨਾਮ ਤੋਂ ਪੈਦਾ ਹੋਏ ਹਮਲਾਵਰਾਂ ਨੇ ਵਪਾਰਕ ਅਤੇ ਇਸ਼ਤਿਹਾਰ ਖਾਤਿਆਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਜ਼ੋਰ ਦਿੱਤਾ ਹੈ, ਬਾਅਦ ਵਿੱਚ ਮੁਦਰੀਕਰਨ ਲਈ ਇਹਨਾਂ ਖਾਤਿਆਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਜ਼ਬਤ ਕਰਨ ਲਈ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਚੋਰੀ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਜਿਵੇਂ ਕਿ ਡਕਟੇਲ , ਨੋਡਸਟੀਲਰ ਅਤੇ ਵਿਏਟਕ੍ਰੇਡਕੇਅਰ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਹੈ।
ਉਹਨਾਂ ਦੇ ਢੰਗ-ਤਰੀਕੇ ਵਿੱਚ ਪੀੜਤਾਂ ਦੀਆਂ ਮਸ਼ੀਨਾਂ ਤੋਂ ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਲਈ ਟੈਲੀਗ੍ਰਾਮ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ, ਜਿਸਦਾ ਫਿਰ ਗੈਰ-ਕਾਨੂੰਨੀ ਮੁਨਾਫਾ ਕਮਾਉਣ ਲਈ ਗੁਪਤ ਬਾਜ਼ਾਰਾਂ ਵਿੱਚ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ CoralRaider ਦੇ ਸੰਚਾਲਕ ਵਿਅਤਨਾਮ ਵਿੱਚ ਸਥਿਤ ਹਨ, ਜਿਵੇਂ ਕਿ ਉਹਨਾਂ ਦੇ ਟੈਲੀਗ੍ਰਾਮ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (C2) ਬੋਟ ਚੈਨਲਾਂ ਵਿੱਚ ਅਦਾਕਾਰਾਂ ਦੇ ਸੰਦੇਸ਼ਾਂ ਦੁਆਰਾ ਦਰਸਾਏ ਗਏ ਹਨ, ਅਤੇ ਨਾਲ ਹੀ ਉਹਨਾਂ ਦੇ ਬੋਟਾਂ, PDB ਸਤਰਾਂ, ਅਤੇ ਨਾਮਕਰਨ ਵਿੱਚ ਵੀਅਤਨਾਮੀ ਭਾਸ਼ਾ ਲਈ ਉਹਨਾਂ ਦੀ ਤਰਜੀਹ ਹੋਰ ਵੀਅਤਨਾਮੀ ਸ਼ਬਦ ਉਹਨਾਂ ਦੇ ਪੇਲੋਡ ਬਾਈਨਰੀਆਂ ਵਿੱਚ ਹਾਰਡਕੋਡ ਕੀਤੇ ਗਏ ਹਨ।
ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਰੋਟਬੋਟ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ
ਹਮਲੇ ਦਾ ਕ੍ਰਮ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ ਫਾਈਲ (LNK) ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਹਾਲਾਂਕਿ ਟੀਚਿਆਂ ਨੂੰ ਵੰਡਣ ਦਾ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਹੈ। LNK ਫਾਈਲ ਨੂੰ ਖੋਲ੍ਹਣ 'ਤੇ, ਇੱਕ HTML ਐਪਲੀਕੇਸ਼ਨ (HTA) ਫਾਈਲ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਤੋਂ ਡਾਉਨਲੋਡ ਅਤੇ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਬਾਅਦ ਵਿੱਚ ਇੱਕ ਏਮਬੈਡਡ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।
ਇਹ ਸਕ੍ਰਿਪਟ, ਬਦਲੇ ਵਿੱਚ, ਤਿੰਨ ਵਾਧੂ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਦੀ ਹੈ ਅਤੇ ਕ੍ਰਮਵਾਰ ਐਂਟੀ-VM ਅਤੇ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਜਾਂਚਾਂ ਕਰਨ, ਵਿੰਡੋਜ਼ ਯੂਜ਼ਰ ਐਕਸੈਸ ਕੰਟਰੋਲ (UAC) ਨੂੰ ਬਾਈਪਾਸ ਕਰਕੇ, ਵਿੰਡੋਜ਼ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਸੂਚਨਾਵਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨ, ਅਤੇ ਰੋਟਬੋਟ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।
RotBot ਨੂੰ ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, XClient ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ। ਇਹ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਜਿਵੇਂ ਕਿ Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, ਅਤੇ Opera ਤੋਂ ਕੂਕੀਜ਼, ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ, ਅਤੇ ਵਿੱਤੀ ਜਾਣਕਾਰੀ ਦੀ ਚੋਰੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਨਾਲ ਹੀ ਡਿਸਕਾਰਡ ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਡੇਟਾ ਅਤੇ ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਕੈਪਚਰ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, XClient ਨੂੰ ਪੀੜਤਾਂ ਦੇ Facebook, Instagram, TikTok, ਅਤੇ YouTube ਖਾਤਿਆਂ ਤੋਂ ਡਾਟਾ ਕੱਢਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਭੁਗਤਾਨ ਵਿਧੀਆਂ ਅਤੇ ਉਹਨਾਂ ਦੇ Facebook ਕਾਰੋਬਾਰ ਅਤੇ ਇਸ਼ਤਿਹਾਰ ਖਾਤਿਆਂ ਨਾਲ ਸੰਬੰਧਿਤ ਅਨੁਮਤੀਆਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ।
RotBot, Quasar RAT ਕਲਾਇੰਟ ਦਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਰੂਪ, ਖਾਸ ਤੌਰ 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੁਆਰਾ ਇਸ ਮੁਹਿੰਮ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਕੰਪਾਇਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, XClient ਆਪਣੇ ਪਲੱਗਇਨ ਮੋਡੀਊਲ ਅਤੇ ਰਿਮੋਟ ਪ੍ਰਸ਼ਾਸਕੀ ਕਾਰਜਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਵੱਖ-ਵੱਖ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦੁਆਰਾ ਵਿਆਪਕ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਸਮਰੱਥਾਵਾਂ ਦਾ ਮਾਣ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
Infostealers ਬਹੁਤ ਸਾਰੇ ਸੈਕਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣੇ ਹੋਏ ਹਨ
Facebook 'ਤੇ ਇੱਕ ਖਰਾਬ ਮੁਹਿੰਮ ਰਿਲੀਡ, ਵਿਦਾਰ, IceRAT ਅਤੇ ਨੋਵਾ ਸਟੀਲਰ ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਖ਼ਤਰੇ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਲਈ ਜਨਰੇਟਿਵ AI ਟੂਲਸ ਦੇ ਆਲੇ ਦੁਆਲੇ ਦੇ ਹਾਈਪ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਹੀ ਹੈ।
ਹਮਲੇ ਦੀ ਸ਼ੁਰੂਆਤ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਇੱਕ ਮੌਜੂਦਾ ਫੇਸਬੁੱਕ ਖਾਤੇ ਦਾ ਨਿਯੰਤਰਣ ਖੋਹਣ ਅਤੇ ਗੂਗਲ, ਓਪਨਏਆਈ ਅਤੇ ਮਿਡਜਰਨੀ ਦੇ ਪ੍ਰਸਿੱਧ ਏਆਈ ਟੂਲਸ ਦੇ ਸਮਾਨ ਹੋਣ ਲਈ ਇਸਦੀ ਦਿੱਖ ਨੂੰ ਬਦਲਣ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਉਹ ਪਲੇਟਫਾਰਮ 'ਤੇ ਸਪਾਂਸਰ ਕੀਤੇ ਇਸ਼ਤਿਹਾਰ ਚਲਾ ਕੇ ਆਪਣਾ ਪ੍ਰਭਾਵ ਵਧਾਉਂਦੇ ਹਨ।
ਉਦਾਹਰਨ ਲਈ, 8 ਮਾਰਚ, 2023 ਨੂੰ ਬੰਦ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਮਿਡਜੌਰਨੀ ਵਜੋਂ ਪੇਸ਼ ਕੀਤੇ ਜਾਅਲੀ ਪੰਨੇ ਨੇ 1.2 ਮਿਲੀਅਨ ਫਾਲੋਅਰਜ਼ ਨੂੰ ਇਕੱਠਾ ਕੀਤਾ ਸੀ। ਇਹਨਾਂ ਪੰਨਿਆਂ ਦੇ ਪਿੱਛੇ ਵਿਅਕਤੀ ਮੁੱਖ ਤੌਰ 'ਤੇ ਵੀਅਤਨਾਮ, ਅਮਰੀਕਾ, ਇੰਡੋਨੇਸ਼ੀਆ, ਯੂ.ਕੇ., ਅਤੇ ਆਸਟ੍ਰੇਲੀਆ ਸਮੇਤ ਹੋਰ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸਥਿਤ ਸਨ।
ਇਹ ਖਰਾਬ ਮੁਹਿੰਮਾਂ ਜਰਮਨੀ, ਪੋਲੈਂਡ, ਇਟਲੀ, ਫਰਾਂਸ, ਬੈਲਜੀਅਮ, ਸਪੇਨ, ਨੀਦਰਲੈਂਡ, ਰੋਮਾਨੀਆ, ਸਵੀਡਨ ਅਤੇ ਇਸ ਤੋਂ ਬਾਹਰ ਦੇ ਦੇਸ਼ਾਂ ਵਿੱਚ ਯੂਰਪੀਅਨ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਵਿਆਪਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਮੈਟਾ ਦੇ ਸਪਾਂਸਰ ਕੀਤੇ ਵਿਗਿਆਪਨ ਸਿਸਟਮ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀਆਂ ਹਨ।
