Вредоносное ПО RotBot
Группа, предположительно родом из Вьетнама, была идентифицирована как нацеленная на людей в различных странах Азии и Юго-Восточной Азии с помощью угрожающего программного обеспечения, направленного на получение ценной информации, по крайней мере, с мая 2023 года. Эксперты по кибербезопасности, известные как CoralRaider, внимательно следят за этой операцией, отмечая ее финансовые мотивы. В число координаторов кампании входят Индия, Китай, Южная Корея, Бангладеш, Пакистан, Индонезия и Вьетнам.
Этот синдикат киберпреступников специализируется на краже учетных данных, финансовых отчетов и профилей в социальных сетях, включая как личные, так и деловые учетные записи. В их арсенал для этой конкретной атаки входят RotBot, модифицированная версия Quasar RAT и похититель XClient. Кроме того, они используют ряд готовых вредоносных программ, таких как AsyncRAT , NetSupport RAT и Rhadamanthys , нацеленных на получение удаленного доступа и перекачку информации из скомпрометированных систем.
Оглавление
Киберпреступники стремятся скомпрометировать конфиденциальную информацию от выбранных целей
Злоумышленники из Вьетнама уделяют значительное внимание проникновению в бизнес-аккаунты и рекламные аккаунты, используя различные семейства вредоносных программ-воров, такие как Ducktail , NodeStealer и VietCredCare, для захвата контроля над этими аккаунтами для последующей монетизации.
Их образ действий предполагает использование Telegram для передачи украденной информации с компьютеров жертв, которая затем обменивается на подпольных рынках для получения незаконной прибыли.
Имеющиеся данные свидетельствуют о том, что операторы CoralRaider расположены во Вьетнаме, о чем свидетельствуют сообщения участников в их каналах ботов Telegram Command and Control (C2), а также их предпочтение вьетнамскому языку в именах своих ботов, строках PDB и другие вьетнамские термины, жестко закодированные в их двоичных файлах.
Многоэтапная цепочка заражения обеспечивает угрозу вредоносного ПО RotBot
Последовательность атаки начинается с помощью файла ярлыка Windows (LNK), хотя метод распространения по целям остается неясным. При открытии файла LNK файл HTML-приложения (HTA) загружается и выполняется с сервера, контролируемого злоумышленником, с последующим запуском встроенного сценария Visual Basic.
Этот скрипт, в свою очередь, расшифровывает и последовательно выполняет три дополнительных скрипта PowerShell, отвечающих за проведение анти-ВМ и антианализа проверок, обход контроля доступа пользователей Windows (UAC), деактивацию уведомлений Windows и приложений, а также загрузку и выполнение RotBot.
RotBot настроен для взаимодействия с ботом Telegram, извлечения и выполнения вредоносного ПО-стилера XClient в памяти. Это облегчает кражу файлов cookie, учетных данных и финансовой информации из веб-браузеров, таких как Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera, а также данных Discord и Telegram и захвата снимков экрана.
Кроме того, XClient предназначен для извлечения данных из учетных записей жертв в Facebook, Instagram, TikTok и YouTube, получения информации о способах оплаты и разрешениях, связанных с их бизнес-аккаунтами и рекламными аккаунтами в Facebook.
RotBot, модифицированный вариант клиента Quasar RAT, был адаптирован и скомпилирован злоумышленником специально для этой кампании. Кроме того, XClient может похвастаться обширными возможностями кражи информации благодаря своему подключаемому модулю и различным функциям для выполнения задач удаленного администрирования.
Инфокрады остаются серьезной угрозой для многих секторов экономики
Кампания по вредоносной рекламе в Facebook использует ажиотаж вокруг инструментов генеративного искусственного интеллекта для продвижения различных похитителей информации, таких как Rilide, Vidar, IceRAT и недавно появившейся угрозы под названием Nova Stealer.
Атака начинается с того, что злоумышленник захватывает контроль над существующей учетной записью Facebook и изменяет ее внешний вид, чтобы он напоминал популярные инструменты искусственного интеллекта от Google, OpenAI и Midjourney. Они расширяют свое влияние, размещая на платформе спонсируемую рекламу.
Например, поддельная страница, выдававшая себя за Midjourney, собрала 1,2 миллиона подписчиков, прежде чем была закрыта 8 марта 2023 года. Лица, стоящие за этими страницами, в основном находились во Вьетнаме, США, Индонезии, Великобритании и Австралии, а также в других странах.
Эти вредоносные рекламные кампании используют рекламную систему, спонсируемую Meta, для достижения широкого охвата, активно ориентируясь на европейских пользователей в таких странах, как Германия, Польша, Италия, Франция, Бельгия, Испания, Нидерланды, Румыния, Швеция и за их пределами.
