RotBot Malware
En grupp som tros komma från Vietnam har identifierats som inriktad på individer i olika asiatiska och sydostasiatiska länder med hotfull programvara som syftar till att extrahera värdefull information sedan åtminstone maj 2023. Känd som CoralRaider, cybersäkerhetsexperter övervakar denna operation noga och noterar dess ekonomiska motiv. Kampanjens fokuspunkter inkluderar Indien, Kina, Sydkorea, Bangladesh, Pakistan, Indonesien och Vietnam.
Detta cyberbrottssyndikat är specialiserat på att stjäla referenser, finansiella register och profiler på sociala medier, som omfattar både personliga och affärskonton. Deras arsenal för just detta överfall inkluderar RotBot, en anpassad version av Quasar RAT och XClient-stjuven. Dessutom distribuerar de en rad skadlig programvara från hyllan, såsom AsyncRAT , NetSupport RAT och Rhadamanthys , som syftar till att få fjärråtkomst och hämta information från komprometterade system.
Innehållsförteckning
Cyberbrottslingar strävar efter att kompromissa med känslig information från utvalda mål
Angripare som kommer från Vietnam har lagt stor vikt vid att infiltrera affärs- och reklamkonton och använt en mängd olika familjer med skadlig programvara som stjäl, såsom Ducktail , NodeStealer och VietCredCare för att ta kontroll över dessa konton för efterföljande intäktsgenerering.
Deras modus operandi involverar användningen av Telegram för att överföra den stulna informationen från offrens maskiner, som sedan utbyts på hemliga marknader för att generera olagliga vinster.
Bevis tyder på att CoralRaiders operatörer är belägna i Vietnam, vilket framgår av meddelandena från aktörerna i deras Telegram Command and Control (C2) bot-kanaler, såväl som deras preferens för det vietnamesiska språket när det gäller att namnge sina bots, PDB-strängar och andra vietnamesiska termer hårdkodade i deras binärer för nyttolast.
En infektionskedja i flera steg levererar hotet om RotBot-malware
Attacksekvensen initieras med en Windows-genvägsfil (LNK), även om metoden för distribution till mål fortfarande är oklar. När LNK-filen öppnas, laddas en HTML-applikationsfil (HTA) ned och exekveras från en server som kontrolleras av angriparen och kör sedan ett inbäddat Visual Basic-skript.
Detta skript i sin tur dekrypterar och exekverar sekventiellt ytterligare tre PowerShell-skript som ansvarar för att utföra anti-VM och antianalyskontroller, kringgå Windows User Access Control (UAC), inaktivera Windows och programmeddelanden samt ladda ner och köra RotBot.
RotBot är konfigurerad för att kommunicera med en Telegram-bot, hämta och köra XClient-stöldprogrammet i minnet. Detta underlättar stöld av cookies, autentiseringsuppgifter och finansiell information från webbläsare som Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox och Opera, samt Discord- och Telegram-data och fångar skärmdumpar.
Dessutom är XClient utformad för att extrahera data från offrens Facebook-, Instagram-, TikTok- och YouTube-konton, för att få information om betalningsmetoder och behörigheter kopplade till deras Facebook-företags- och annonskonton.
RotBot, en anpassad variant av Quasar RAT-klienten, har skräddarsytts och sammanställts specifikt för denna kampanj av hotaktören. Dessutom har XClient omfattande möjligheter att stjäla information genom sin plugin-modul och olika funktioner för att utföra administrativa uppgifter på distans.
Infostealers är fortfarande ett avsevärt hot mot många sektorer
En malvertisingkampanj på Facebook utnyttjar hypen kring generativa AI-verktyg för att marknadsföra olika informationsstöldare som Rilide, Vidar, IceRAT och ett nyligen uppstått hot som heter Nova Stealer.
Attacken börjar med att hotaktören tar kontroll över ett befintligt Facebook-konto och ändrar dess utseende för att likna populära AI-verktyg från Google, OpenAI och Midjourney. De utökar sitt inflytande genom att köra sponsrade annonser på plattformen.
Till exempel samlade en förfalskad sida som utgav sig som Midjourney 1,2 miljoner följare innan den stängdes den 8 mars 2023. Personerna bakom dessa sidor fanns främst i bland annat Vietnam, USA, Indonesien, Storbritannien och Australien.
Dessa malvertisingkampanjer utnyttjar Metas sponsrade annonssystem för att uppnå omfattande uppsökande verksamhet, aktivt riktar sig mot europeiska användare i länder som Tyskland, Polen, Italien, Frankrike, Belgien, Spanien, Nederländerna, Rumänien, Sverige och vidare.
