RotBot Malware
Група за коју се верује да потиче из Вијетнама идентификована је као мете на појединце широм различитих земаља Азије и Југоисточне Азије са претећим софтвером који има за циљ да извуче вредне информације најмање од маја 2023. Познати као ЦоралРаидер, стручњаци за сајбер безбедност пажљиво прате ову операцију, примећујући њене финансијске мотиве. Фокусне тачке кампање су Индија, Кина, Јужна Кореја, Бангладеш, Пакистан, Индонезија и Вијетнам.
Овај синдикат сајбер криминалаца специјализован је за крађу акредитива, финансијских података и профила на друштвеним мрежама, обухватајући и личне и пословне налоге. Њихов арсенал за овај конкретан напад укључује РотБот, прилагођену верзију Куасар РАТ-а и крађу КСЦлиент-а. Поред тога, они примењују низ готових малвера, као што су АсинцРАТ , НетСуппорт РАТ и Рхадамантхис , са циљем да добију даљински приступ и извлаче информације из компромитованих система.
Преглед садржаја
Сајбер криминалци имају за циљ да угрозе осетљиве информације са одабраних мета
Нападачи пореклом из Вијетнама су ставили значајан нагласак на инфилтрирање пословних и рекламних налога, користећи разне породице малвера за крађу као што су Дуцктаил , НодеСтеалер и ВиетЦредЦаре да би преузели контролу над овим налозима ради накнадне монетизације.
Њихов модус операнди укључује коришћење Телеграма за преношење украдених информација са машина жртава, које се затим размењују на тајним тржиштима како би се остварио незаконит профит.
Докази сугеришу да се оператери ЦоралРаидер-а налазе у Вијетнаму, на шта указују поруке актера на њиховим Телеграм Цомманд анд Цонтрол (Ц2) бот каналима, као и њихова преференција за вијетнамски језик у именовању својих ботова, ПДБ стрингова и други вијетнамски термини чврсто кодирани у оквиру њихових бинарних датотека.
Вишестепени ланац инфекције испоручује претњу од злонамерног софтвера РотБот
Секвенца напада почиње са Виндовс датотеком пречице (ЛНК), иако начин дистрибуције до циљева остаје нејасан. Након отварања ЛНК датотеке, датотека ХТМЛ апликације (ХТА) се преузима и извршава са сервера који контролише нападач, након чега се покреће уграђена Висуал Басиц скрипта.
Ова скрипта, заузврат, дешифрује и секвенцијално извршава три додатне ПоверСхелл скрипте одговорне за спровођење анти-ВМ и анти-анализних провера, заобилазећи Виндовс контролу приступа корисника (УАЦ), деактивира Виндовс и обавештења о апликацијама и преузима и извршава РотБот.
РотБот је конфигурисан да комуницира са Телеграм ботом, преузимајући и извршавајући злонамерни софтвер за крађу КСЦлиент у меморији. Ово олакшава крађу колачића, акредитива и финансијских информација из веб претраживача као што су Браве, Цоц Цоц, Гоогле Цхроме, Мицрософт Едге, Мозилла Фирефок и Опера, као и података Дисцорд и Телеграм и снима снимке екрана.
Штавише, КСЦлиент је дизајниран да извлачи податке са Фацебоок, Инстаграм, ТикТок и ИоуТубе налога жртава, добијајући информације о начинима плаћања и дозволама повезаним са њиховим Фацебоок пословним и рекламним налозима.
РотБот, прилагођена варијанта Куасар РАТ клијента, је скројена и састављена посебно за ову кампању од стране актера претњи. Поред тога, КСЦлиент се може похвалити опсежним могућностима крађе информација кроз свој модул додатака и различите функционалности за извршавање даљинских административних задатака.
Инфокрадљивци остају значајна претња која циља бројне секторе
Кампања злонамерног рекламирања на Фејсбуку искоришћава узбуђење око генеративних АИ алата за промовисање разних крадљиваца информација као што су Рилиде, Видар, ИцеРАТ и новонасталу претњу под називом Нова Стеалер.
Напад почиње тако што актер претње преузима контролу над постојећим Фацебоок налогом и мења његов изглед како би личио на популарне АИ алате из Гугла, ОпенАИ и Мидјоурнеи. Они проширују свој утицај покретањем спонзорисаних реклама на платформи.
На пример, лажна страница која се представљала као Мидјоурнеи прикупила је 1,2 милиона пратилаца пре него што је затворена 8. марта 2023. Појединци иза ових страница углавном су се налазили у Вијетнаму, САД, Индонезији, УК и Аустралији, између осталих земаља.
Ове кампање злонамерног оглашавања користе Метин спонзорисани огласни систем да би се постигао широк досег, активно циљајући европске кориснике у земљама као што су Немачка, Пољска, Италија, Француска, Белгија, Шпанија, Холандија, Румунија, Шведска и шире.
