Zlonamerna programska oprema RotBot
Skupina, ki domnevno izvira iz Vietnama, je bila identificirana kot tarča posameznikov v različnih azijskih in jugovzhodnih azijskih državah z grozljivo programsko opremo, katere cilj je pridobiti dragocene informacije, vsaj od maja 2023. Strokovnjaki za kibernetsko varnost, znani kot CoralRaider, pozorno spremljajo to operacijo in ugotavljajo njene finančne motive. Osrednje točke kampanje so Indija, Kitajska, Južna Koreja, Bangladeš, Pakistan, Indonezija in Vietnam.
Ta združba kibernetskih kriminalcev je specializirana za krajo poverilnic, finančnih evidenc in profilov v družabnih medijih, ki zajemajo osebne in poslovne račune. Njihov arzenal za ta poseben napad vključuje RotBot, prilagojeno različico Quasar RAT in kradljivca XClient. Poleg tega uvajajo vrsto že pripravljene zlonamerne programske opreme, kot je AsyncRAT , NetSupport RAT in Rhadamanthys , namenjene pridobivanju oddaljenega dostopa in črpanju informacij iz ogroženih sistemov.
Kazalo
Kibernetski kriminalci želijo ogroziti občutljive podatke izbranih tarč
Napadalci, ki izvirajo iz Vietnama, so dali velik poudarek infiltraciji v poslovne in oglaševalske račune, pri čemer so uporabili različne družine zlonamerne programske opreme, kot so Ducktail , NodeStealer in VietCredCare , da bi prevzeli nadzor nad temi računi za kasnejšo monetizacijo.
Njihov modus operandi vključuje uporabo Telegrama za prenos ukradenih informacij iz strojev žrtev, ki se nato izmenjujejo na skrivnih trgih za ustvarjanje nezakonitih dobičkov.
Dokazi kažejo, da se operaterji CoralRaider nahajajo v Vietnamu, kot kažejo sporočila akterjev v njihovih botovskih kanalih Telegram Command and Control (C2), pa tudi njihova prednost za vietnamski jezik pri poimenovanju njihovih botov, nizov PDB in drugi vietnamski izrazi, ki so trdo kodirani v njihovih binarnih datotekah.
Večstopenjska veriga okužb prinaša grožnjo zlonamerne programske opreme RotBot
Zaporedje napadov se začne z datoteko bližnjice Windows (LNK), čeprav metoda distribucije do tarč ostaja nejasna. Ko odprete datoteko LNK, se datoteka aplikacije HTML (HTA) prenese in izvede iz strežnika, ki ga nadzoruje napadalec, nato pa se zažene vdelan skript Visual Basic.
Ta skript nato dešifrira in zaporedno izvede tri dodatne skripte PowerShell, ki so odgovorni za izvajanje preverjanj proti VM in protianalizi, obidejo Windows User Access Control (UAC), deaktivirajo Windows in obvestila aplikacij ter prenašajo in izvajajo RotBot.
RotBot je konfiguriran za komunikacijo z botom Telegram, pridobivanje in izvajanje zlonamerne programske opreme XClient v pomnilniku. To olajša krajo piškotkov, poverilnic in finančnih informacij iz spletnih brskalnikov, kot so Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox in Opera, ter podatkov Discord in Telegram ter zajame posnetke zaslona.
Poleg tega je XClient zasnovan za pridobivanje podatkov iz računov žrtev Facebook, Instagram, TikTok in YouTube ter pridobivanje informacij o načinih plačila in dovoljenjih, povezanih z njihovimi poslovnimi in oglaševalskimi računi Facebook.
RotBot, prilagojeno različico odjemalca Quasar RAT, je akter grožnje prilagodil in sestavil posebej za to kampanjo. Poleg tega se XClient ponaša z obsežnimi zmožnostmi kraje informacij prek modula vtičnikov in različnih funkcionalnosti za izvajanje skrbniških nalog na daljavo.
Infostealers ostajajo velika grožnja, ki cilja na številne sektorje
Kampanja zlorabe na Facebooku izkorišča navdušenje okoli generativnih orodij umetne inteligence za promocijo različnih krajcev informacij, kot so Rilide, Vidar, IceRAT in novonastala grožnja Nova Stealer.
Napad se začne tako, da akter grožnje prevzame nadzor nad obstoječim Facebook računom in spremeni njegov videz tako, da je podoben priljubljenim orodjem AI iz Googla, OpenAI in Midjourney. Svoj vpliv širijo s sponzoriranimi oglasi na platformi.
Na primer, ponarejena stran, ki se je predstavljala kot Midjourney, je zbrala 1,2 milijona sledilcev, preden so jo zaprli 8. marca 2023. Posamezniki, ki stojijo za temi stranmi, so bili med drugim predvsem v Vietnamu, ZDA, Indoneziji, Združenem kraljestvu in Avstraliji.
Te zlonamerne oglaševalske akcije izkoriščajo Metin sponzorirani oglasni sistem za doseganje obsežnega dosega in aktivno ciljajo na evropske uporabnike v državah, kot so Nemčija, Poljska, Italija, Francija, Belgija, Španija, Nizozemska, Romunija, Švedska in drugod.
