Škodlivý softvér RotBot

Skupina, o ktorej sa predpokladá, že pochádza z Vietnamu, bola identifikovaná ako zameraná na jednotlivcov v rôznych krajinách Ázie a juhovýchodnej Ázie pomocou hrozivého softvéru zameraného na získavanie cenných informácií minimálne od mája 2023. Odborníci na kybernetickú bezpečnosť, známi ako CoralRaider, pozorne sledujú túto operáciu a všímajú si jej finančné motívy. Hlavnými bodmi kampane sú India, Čína, Južná Kórea, Bangladéš, Pakistan, Indonézia a Vietnam.

Tento kyberzločinecký syndikát sa špecializuje na krádeže poverení, finančných záznamov a profilov sociálnych médií, ktoré zahŕňajú osobné aj obchodné účty. Ich arzenál pre tento konkrétny útok zahŕňa RotBot, prispôsobenú verziu Quasar RAT a XClient zlodeja. Okrem toho nasadzujú celý rad bežného malvéru, ako napríklad AsyncRAT , NetSupport RAT a Rhadamanthys , ktorého cieľom je získať vzdialený prístup a odčerpať informácie z napadnutých systémov.

Cieľom kyberzločincov je kompromitovať citlivé informácie z vybraných cieľov

Útočníci pochádzajúci z Vietnamu kládli veľký dôraz na infiltráciu obchodných a reklamných účtov, pričom využívali rôzne rodiny zlodejského malvéru, ako sú Ducktail , NodeStealer a VietCredCare , aby získali kontrolu nad týmito účtami na následné speňaženie.

Ich modus operandi zahŕňa využitie telegramu na prenos ukradnutých informácií zo strojov obetí, ktoré sa potom vymieňajú na tajných trhoch s cieľom vytvárať nezákonné zisky.

Dôkazy naznačujú, že operátori CoralRaider sa nachádzajú vo Vietname, ako naznačujú správy od aktérov v ich kanáloch robotov telegramového velenia a riadenia (C2), ako aj ich preferencie pre vietnamský jazyk pri pomenovaní svojich robotov, reťazcov PDB a ďalšie vietnamské výrazy pevne zakódované v ich binárnych súboroch užitočného zaťaženia.

Viacstupňový infekčný reťazec prináša hrozbu malvéru RotBot

Sekvencia útoku sa začína súborom skratky Windows (LNK), hoci spôsob distribúcie k cieľom zostáva nejasný. Po otvorení súboru LNK sa stiahne a spustí súbor aplikácie HTML (HTA) zo servera kontrolovaného útočníkom a následne sa spustí vložený skript jazyka Visual Basic.

Tento skript zase dešifruje a postupne spúšťa tri ďalšie skripty PowerShell zodpovedné za vykonávanie anti-VM a antianalytických kontrol, obchádzanie Windows User Access Control (UAC), deaktiváciu upozornení systému Windows a aplikácií a sťahovanie a spúšťanie RotBot.

RotBot je nakonfigurovaný tak, aby komunikoval s telegramovým robotom, získaval a spúšťal malvér XClient stealer v pamäti. To uľahčuje krádež súborov cookie, poverení a finančných informácií z webových prehliadačov, ako sú Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox a Opera, ako aj údajov Discord a Telegram a zachytáva snímky obrazovky.

Okrem toho je XClient navrhnutý na extrahovanie údajov z účtov obetí na Facebooku, Instagrame, TikTok a YouTube a získavanie informácií o spôsoboch platby a povoleniach spojených s ich obchodnými a reklamnými účtami na Facebooku.

RotBot, prispôsobený variant klienta Quasar RAT, bol prispôsobený a zostavený špeciálne pre túto kampaň aktérom hrozby. Okrem toho sa XClient môže pochváliť rozsiahlymi možnosťami kradnutia informácií prostredníctvom modulu zásuvných modulov a rôznych funkcií na vykonávanie vzdialených administratívnych úloh.

Infostealers zostávajú veľkou hrozbou zameranou na mnohé sektory

Škodlivá kampaň na Facebooku využíva humbuk okolo generatívnych nástrojov AI na propagáciu rôznych zlodejov informácií ako Rilide, Vidar, IceRAT a novovzniknutej hrozby s názvom Nova Stealer.

Útok začína tým, že aktér hrozby prevezme kontrolu nad existujúcim účtom na Facebooku a zmení jeho vzhľad tak, aby pripomínal populárne nástroje AI od Google, OpenAI a Midjourney. Rozširujú svoj vplyv spustením sponzorovaných reklám na platforme.

Napríklad falošná stránka vystupujúca ako Midjourney získala 1,2 milióna sledovateľov predtým, ako bola 8. marca 2023 zrušená. Osoby stojace za týmito stránkami sa okrem iných krajín nachádzali najmä vo Vietname, USA, Indonézii, Spojenom kráľovstve a Austrálii.

Tieto inzertné kampane využívajú sponzorovaný reklamný systém Meta na dosiahnutie rozsiahleho dosahu a aktívne sa zameriavajú na európskych používateľov v krajinách ako Nemecko, Poľsko, Taliansko, Francúzsko, Belgicko, Španielsko, Holandsko, Rumunsko, Švédsko a ďalšie.