RotBotMalware
Um grupo que se acredita ser originário do Vietname foi identificado como tendo como alvo indivíduos em vários países da Ásia e do Sudeste Asiático com software ameaçador destinado a extrair informações valiosas desde pelo menos maio de 2023. Conhecido como CoralRaider, os especialistas em segurança cibernética monitorizam de perto esta operação, observando os seus motivos financeiros. Os pontos focais da campanha incluem Índia, China, Coreia do Sul, Bangladesh, Paquistão, Indonésia e Vietname.
Este sindicato cibercriminoso é especializado em furtar credenciais, registros financeiros e perfis de mídia social, abrangendo contas pessoais e empresariais. Seu arsenal para este ataque específico inclui o RotBot, uma versão customizada do Quasar RAT e o stealer XClient. Além disso, eles implantam uma variedade de malwares prontos para uso, como o AsyncRAT, o NetSupport RAT e o Rhadamanthys, com o objetivo de obter acesso remoto e desviar informações de sistemas comprometidos.
Índice
Os CibercriminososVisam Comprometer Informações Confidenciais dos Alvos Selecionados
Os invasores originários do Vietnã colocaram uma ênfase significativa na infiltração de contas comerciais e publicitárias, empregando uma variedade de famílias de malware ladrões, como o Ducktail, o NodeStealer e o VietCredCare, para assumir o controle dessas contas para posterior monetização.
O seu modus operandi envolve a utilização do Telegram para transmitir as informações roubadas das máquinas das vítimas, que são depois trocadas em mercados clandestinos para gerar lucros ilegais.
As evidências sugerem que os operadores do CoralRaider estão localizados no Vietnã, conforme indicado pelas mensagens dos atores em seus canais de bot de Comando e Controle do Telegram (C2), bem como sua preferência pelo idioma vietnamita na nomeação de seus bots, cadeias de PDB e outros termos vietnamitas codificados em seus binários de carga útil.
Uma Cadeia de Infecção de Vários Estágios Entrega a Ameaça RotBot Malware
A sequência de ataque inicia com um arquivo de atalho do Windows (LNK), embora o método de distribuição aos alvos ainda não esteja claro. Ao abrir o arquivo LNK, um arquivo de aplicativo HTML (HTA) é baixado e executado a partir de um servidor controlado pelo invasor, executando posteriormente um script Visual Basic incorporado.
Este script, por sua vez, descriptografa e executa sequencialmente três scripts PowerShell adicionais responsáveis por realizar verificações anti-VM e anti-análise, ignorando o Controle de Acesso do Usuário (UAC) do Windows, desativando notificações do Windows e de aplicativos e baixando e executando o RotBot.
O RotBot está configurado para se comunicar com um bot do Telegram, recuperando e executando o malware ladrão XClient na memória. Isso facilita o roubo de cookies, credenciais e informações financeiras de navegadores da Web como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, bem como dados do Discord e Telegram e capturas de tela.
Além disso, o XClient foi projetado para extrair dados das contas das vítimas no Facebook, Instagram, TikTok e YouTube, obtendo informações sobre métodos de pagamento e permissões associadas às suas contas comerciais e publicitárias no Facebook.
RotBot, uma variante customizada do cliente Quasar RAT, foi adaptada e compilada especificamente para esta campanha pelo ator da ameaça. Além disso, o XClient possui amplos recursos de roubo de informações por meio de seu módulo de plug-in e diversas funcionalidades para execução de tarefas administrativas remotas.
Os Infostealers Continuam sendo uma Ameaça Considerável que Atinge Vários Setores
Uma campanha de malvertising no Facebook está explorando o hype em torno das ferramentas generativas de IA para promover vários ladrões de informações como o Rilide, o Vidar, o IceRAT e uma ameaça recém-surgida chamada Nova Stealer.
O ataque começa com o agente da ameaça assumindo o controle de uma conta existente do Facebook e alterando sua aparência para se parecer com ferramentas populares de IA do Google, OpenAI e Midjourney. Eles ampliam sua influência veiculando anúncios patrocinados na plataforma.
Por exemplo, uma página falsa que se passava por Midjourney acumulou 1,2 milhões de seguidores antes de ser encerrada em 8 de março de 2023. Os indivíduos por trás dessas páginas estavam localizados principalmente no Vietnã, nos EUA, na Indonésia, no Reino Unido e na Austrália, entre outros países.
Estas campanhas de malvertising aproveitam o sistema de anúncios patrocinados da Meta para alcançar um amplo alcance, visando ativamente utilizadores europeus em países como Alemanha, Polónia, Itália, França, Bélgica, Espanha, Países Baixos, Roménia, Suécia e outros.
