Malware RotBot
Një grup që besohet se e ka origjinën nga Vietnami është identifikuar se synonte individë nëpër vende të ndryshme të Azisë dhe Azisë Juglindore me softuer kërcënues që synon nxjerrjen e informacionit të vlefshëm që të paktën që nga maji 2023. I njohur si CoralRaider, ekspertët e sigurisë kibernetike monitorojnë nga afër këtë operacion, duke vënë në dukje motivet e tij financiare. Pikat kryesore të fushatës përfshijnë Indinë, Kinën, Korenë e Jugut, Bangladeshin, Pakistanin, Indonezinë dhe Vietnamin.
Kjo sindikatë kriminale kibernetike është e specializuar në vjedhjen e kredencialeve, të dhënave financiare dhe profileve të mediave sociale, duke përfshirë llogaritë personale dhe ato të biznesit. Arsenali i tyre për këtë sulm të veçantë përfshin RotBot, një version i personalizuar i Quasar RAT dhe vjedhësi XClient. Për më tepër, ata vendosin një sërë malware jashtë raftit, si AsyncRAT , NetSupport RAT dhe Rhadamanthys , që synojnë marrjen e aksesit në distancë dhe nxjerrjen e informacionit nga sistemet e komprometuara.
Tabela e Përmbajtjes
Kriminelët kibernetikë synojnë të komprometojnë informacione të ndjeshme nga objektiva të zgjedhur
Sulmuesit me origjinë nga Vietnami kanë vënë një theks të rëndësishëm në infiltrimin e llogarive të biznesit dhe reklamave, duke përdorur një sërë familjesh malware vjedhëssh si Ducktail , NodeStealer dhe VietCredCare për të kapur kontrollin e këtyre llogarive për fitimin e mëvonshëm të parave.
Mënyra e funksionimit të tyre përfshin përdorimin e Telegramit për të transmetuar informacionin e vjedhur nga makinat e viktimave, i cili më pas shkëmbehet në tregjet klandestine për të gjeneruar fitime të paligjshme.
Provat sugjerojnë se operatorët e CoralRaider janë të vendosur në Vietnam, siç tregohet nga mesazhet e aktorëve në kanalet e tyre të botit Telegram Command and Control (C2), si dhe preferencat e tyre për gjuhën vietnameze në emërtimin e boteve të tyre, vargjet PDB dhe terma të tjerë vietnamezë të koduar në binarët e tyre të ngarkesës.
Një zinxhir infeksioni me shumë faza sjell kërcënimin e malware RotBot
Sekuenca e sulmit fillon me një skedar të shkurtoreve të Windows (LNK), megjithëse mënyra e shpërndarjes tek objektivat mbetet e paqartë. Me hapjen e skedarit LNK, një skedar aplikacioni HTML (HTA) shkarkohet dhe ekzekutohet nga një server i kontrolluar nga sulmuesi, duke ekzekutuar më pas një skript të integruar të Visual Basic.
Ky skript, nga ana tjetër, deshifron dhe ekzekuton në mënyrë sekuenciale tre skripte shtesë PowerShell përgjegjës për kryerjen e kontrolleve anti-VM dhe anti-analizë, duke anashkaluar Windows User Access Control (UAC), çaktivizimin e Windows dhe njoftimet e aplikacioneve dhe shkarkimin dhe ekzekutimin e RotBot.
RotBot është konfiguruar për të komunikuar me një bot Telegram, duke marrë dhe ekzekutuar malware-in e vjedhësit XClient në memorie. Kjo lehtëson vjedhjen e kukive, kredencialeve dhe informacioneve financiare nga shfletuesit e uebit si Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox dhe Opera, si dhe të dhënat e Discord dhe Telegram dhe kap pamjet e ekranit.
Për më tepër, XClient është krijuar për të nxjerrë të dhëna nga llogaritë e viktimave në Facebook, Instagram, TikTok dhe YouTube, duke marrë informacion në lidhje me mënyrat e pagesës dhe lejet që lidhen me biznesin e tyre dhe llogaritë e reklamave në Facebook.
RotBot, një variant i personalizuar i klientit Quasar RAT, është përshtatur dhe përpiluar posaçërisht për këtë fushatë nga aktori i kërcënimit. Për më tepër, XClient krenohet me aftësi të gjera për vjedhjen e informacionit përmes modulit të tij të shtojcave dhe funksionaliteteve të ndryshme për ekzekutimin e detyrave administrative në distancë.
Infostealers mbeten një kërcënim i konsiderueshëm që synon shumë sektorë
Një fushatë keqvertimi në Facebook po shfrytëzon zhurmën që rrethon mjetet gjeneruese të AI për të promovuar vjedhës të ndryshëm informacioni si Rilide, Vidar, IceRAT dhe një kërcënim të sapo shfaqur të quajtur Nova Stealer.
Sulmi fillon me aktorin e kërcënimit që ka marrë kontrollin e një llogarie ekzistuese në Facebook dhe duke ndryshuar pamjen e saj për t'iu ngjan mjeteve të njohura të AI nga Google, OpenAI dhe Midjourney. Ata zgjerojnë ndikimin e tyre duke drejtuar reklama të sponsorizuara në platformë.
Për shembull, një faqe e falsifikuar që paraqitet si Midjourney grumbulloi 1.2 milionë ndjekës përpara se të mbyllej më 8 mars 2023. Individët pas këtyre faqeve ndodheshin kryesisht në Vietnam, SHBA, Indonezi, MB dhe Australi, mes vendeve të tjera.
Këto fushata keqvertimi përdorin sistemin e reklamave të sponsorizuara të Meta për të arritur një shtrirje të gjerë, duke synuar në mënyrë aktive përdoruesit evropianë në vende të tilla si Gjermania, Polonia, Italia, Franca, Belgjika, Spanja, Hollanda, Rumania, Suedia dhe më gjerë.
