Malware RotBot
Un grup despre care se crede că provine din Vietnam a fost identificat ca vizează indivizi din diferite țări din Asia și Asia de Sud-Est cu software amenințător care vizează extragerea de informații valoroase începând cu cel puțin mai 2023. Cunoscuți sub numele de CoralRaider, experții în securitate cibernetică monitorizează îndeaproape această operațiune, observând motivele financiare ale acesteia. Punctele focale ale campaniei includ India, China, Coreea de Sud, Bangladesh, Pakistan, Indonezia și Vietnam.
Acest sindicat de criminali cibernetici este specializat în furtul de acreditări, înregistrări financiare și profiluri de rețele sociale, cuprinzând atât conturi personale, cât și conturi de afaceri. Arsenalul lor pentru acest atac special include RotBot, o versiune personalizată a Quasar RAT și hoțul XClient. În plus, ei implementează o serie de programe malware disponibile, cum ar fi AsyncRAT , NetSupport RAT și Rhadamanthys , menite să obțină acces de la distanță și să sifoneze informații din sistemele compromise.
Cuprins
Infractorii cibernetici urmăresc să compromită informațiile sensibile de la ținte selectate
Atacatorii originari din Vietnam au pus un accent semnificativ pe infiltrarea conturilor de afaceri și de reclame, utilizând o varietate de familii de malware, precum Ducktail , NodeStealer și VietCredCare, pentru a prelua controlul acestor conturi pentru monetizarea ulterioară.
Modul de operare al acestora implică utilizarea Telegramului pentru a transmite informațiile furate de la aparatele victimelor, care sunt apoi schimbate pe piețele clandestine pentru a genera profituri ilegale.
Dovezile sugerează că operatorii CoralRaider sunt localizați în Vietnam, așa cum indică mesajele actorilor din canalele lor bot Telegram Command and Control (C2), precum și preferința lor pentru limba vietnameză în denumirea botilor, șirurile PDB și alți termeni vietnamezi codați hard în binarele lor de încărcare utilă.
Un lanț de infecție în mai multe etape oferă amenințarea malware RotBot
Secvența de atac inițiază cu un fișier de comandă rapidă Windows (LNK), deși metoda de distribuire către ținte rămâne neclară. La deschiderea fișierului LNK, un fișier de aplicație HTML (HTA) este descărcat și executat de pe un server controlat de atacator, rulând ulterior un script Visual Basic încorporat.
Acest script, la rândul său, decriptează și execută secvenţial trei scripturi PowerShell suplimentare responsabile cu efectuarea verificărilor anti-VM și anti-analiza, ocolirea Windows User Access Control (UAC), dezactivarea Windows și notificările aplicației și descărcarea și executarea RotBot.
RotBot este configurat să comunice cu un bot Telegram, regăsind și executând malware-ul XClient stealer în memorie. Acest lucru facilitează furtul cookie-urilor, acreditărilor și informațiilor financiare din browsere web precum Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox și Opera, precum și date Discord și Telegram și captează capturi de ecran.
În plus, XClient este conceput pentru a extrage date din conturile de Facebook, Instagram, TikTok și YouTube ale victimelor, obținând informații despre metodele de plată și permisiunile asociate contului lor de afaceri și de publicitate Facebook.
RotBot, o variantă personalizată a clientului Quasar RAT, a fost adaptată și compilată special pentru această campanie de către actorul amenințării. În plus, XClient se mândrește cu capacități extinse de furt de informații prin modulul său de plugin și diferite funcționalități pentru executarea sarcinilor administrative de la distanță.
Furții de informații rămân o amenințare considerabilă care vizează numeroase sectoare
O campanie de malvertising pe Facebook exploatează hype-ul din jurul instrumentelor AI generative pentru a promova diferiți furori de informații precum Rilide, Vidar, IceRAT și o amenințare nou apărută numită Nova Stealer.
Atacul începe cu actorul amenințării care preia controlul asupra unui cont Facebook existent și modifică aspectul acestuia pentru a se asemăna cu instrumentele AI populare de la Google, OpenAI și Midjourney. Ei își extind influența prin difuzarea de reclame sponsorizate pe platformă.
De exemplu, o pagină contrafăcută care se dădea drept Midjourney a strâns 1,2 milioane de urmăritori înainte de a fi închisă pe 8 martie 2023. Persoanele din spatele acestor pagini erau localizate în principal în Vietnam, SUA, Indonezia, Marea Britanie și Australia, printre alte țări.
Aceste campanii de malvertising profită de sistemul de anunțuri sponsorizat de Meta pentru a obține o extindere extinsă, vizând în mod activ utilizatorii europeni din țări precum Germania, Polonia, Italia, Franța, Belgia, Spania, Țările de Jos, România, Suedia și nu numai.
