Złośliwe oprogramowanie RotBota
Zidentyfikowano grupę, która prawdopodobnie pochodzi z Wietnamu, która co najmniej od maja 2023 r. atakuje osoby w różnych krajach Azji i Azji Południowo-Wschodniej za pomocą groźnego oprogramowania mającego na celu wydobycie cennych informacji. Znani jako CoralRaider eksperci ds. cyberbezpieczeństwa ściśle monitorują tę operację, zwracając uwagę na jej motywy finansowe. Głównymi punktami kampanii są Indie, Chiny, Korea Południowa, Bangladesz, Pakistan, Indonezja i Wietnam.
Ten syndykat cyberprzestępczy specjalizuje się w kradzieży danych uwierzytelniających, dokumentacji finansowej i profili w mediach społecznościowych, obejmujących zarówno konta osobiste, jak i firmowe. Ich arsenał do tego konkretnego ataku obejmuje RotBota, dostosowaną wersję Quasar RAT i złodzieja XClient. Ponadto wdrażają szereg gotowego złośliwego oprogramowania, takiego jak AsyncRAT , NetSupport RAT i Rhadamanthys , którego celem jest uzyskanie zdalnego dostępu i wysysanie informacji z zaatakowanych systemów.
Spis treści
Celem cyberprzestępców jest zdobycie poufnych informacji wybranych celów
Atakujący pochodzący z Wietnamu położyli duży nacisk na infiltrowanie kont firmowych i reklamowych, wykorzystując różne rodziny kradnącego złośliwego oprogramowania, takie jak Ducktail , NodeStealer i VietCredCare , aby przejąć kontrolę nad tymi kontami w celu późniejszej monetyzacji.
Ich sposób działania polega na wykorzystaniu Telegramu do przesyłania informacji skradzionych z maszyn ofiar, które następnie są wymieniane na tajnych rynkach w celu generowania nielegalnych zysków.
Dowody wskazują, że operatorzy CoralRaider mają siedzibę w Wietnamie, na co wskazują wiadomości od aktorów w ich kanałach botów Telegram Command and Control (C2), a także ich preferencje dotyczące języka wietnamskiego w nazewnictwie swoich botów, ciągów znaków PDB i inne wietnamskie terminy zakodowane na stałe w plikach binarnych ładunku.
Wieloetapowy łańcuch infekcji zapewnia zagrożenie złośliwym oprogramowaniem RotBot
Sekwencja ataku rozpoczyna się od pliku skrótu systemu Windows (LNK), chociaż metoda dystrybucji do celów pozostaje niejasna. Po otwarciu pliku LNK plik aplikacji HTML (HTA) jest pobierany i wykonywany z serwera kontrolowanego przez osobę atakującą, a następnie uruchamiany jest osadzony skrypt Visual Basic.
Skrypt ten z kolei odszyfrowuje i sekwencyjnie wykonuje trzy dodatkowe skrypty PowerShell odpowiedzialne za przeprowadzanie kontroli anty-VM i antyanalizy, omijanie kontroli dostępu użytkowników systemu Windows (UAC), dezaktywację powiadomień systemu Windows i aplikacji oraz pobieranie i uruchamianie RotBota.
RotBot jest skonfigurowany do komunikowania się z botem Telegramu, pobierania i wykonywania złośliwego oprogramowania kradnącego XClient w pamięci. Ułatwia to kradzież plików cookie, danych uwierzytelniających i informacji finansowych z przeglądarek internetowych, takich jak Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox i Opera, a także danych Discord i Telegram oraz przechwytuje zrzuty ekranu.
Ponadto XClient ma na celu wyodrębnianie danych z kont ofiar na Facebooku, Instagramie, TikTok i YouTube, uzyskiwanie informacji o metodach płatności i pozwoleniach związanych z ich kontami biznesowymi i reklamowymi na Facebooku.
RotBot, dostosowany wariant klienta Quasar RAT, został dostosowany i skompilowany specjalnie na potrzeby tej kampanii przez osobę zagrażającą. Dodatkowo XClient oferuje szerokie możliwości kradzieży informacji dzięki modułowi wtyczek i różnym funkcjom wykonywania zdalnych zadań administracyjnych.
Złodzieje informacji pozostają poważnym zagrożeniem dla wielu sektorów
Kampania złośliwej reklamy na Facebooku wykorzystuje szum wokół generatywnych narzędzi AI do promowania różnych złodziei informacji, takich jak Rilide, Vidar, IceRAT i nowo powstałego zagrożenia o nazwie Nova Stealer.
Atak rozpoczyna się od przejęcia kontroli nad istniejącym kontem na Facebooku i zmiany jego wyglądu, tak aby przypominał popularne narzędzia sztucznej inteligencji firm Google, OpenAI i Midjourney. Rozszerzają swoje wpływy, zamieszczając na platformie sponsorowane reklamy.
Na przykład fałszywa strona udająca Midjourney zgromadziła 1,2 miliona obserwujących, zanim została zamknięta 8 marca 2023 r. Osoby stojące za tymi stronami znajdowały się głównie między innymi w Wietnamie, Stanach Zjednoczonych, Indonezji, Wielkiej Brytanii i Australii.
Te kampanie zawierające złośliwe reklamy wykorzystują sponsorowany system reklam Meta do osiągnięcia szerokiego zasięgu, aktywnie docierając do użytkowników europejskich w takich krajach jak Niemcy, Polska, Włochy, Francja, Belgia, Hiszpania, Holandia, Rumunia, Szwecja i nie tylko.
