RotBot மால்வேர்
வியட்நாமில் இருந்து தோன்றியதாக நம்பப்படும் ஒரு குழு, குறைந்தபட்சம் மே 2023 முதல் மதிப்புமிக்க தகவல்களைப் பிரித்தெடுக்கும் நோக்கில் அச்சுறுத்தும் மென்பொருள் மூலம் பல்வேறு ஆசிய மற்றும் தென்கிழக்கு ஆசிய நாடுகளில் உள்ள தனிநபர்களைக் குறிவைத்து அடையாளம் காணப்பட்டுள்ளது. இந்தியா, சீனா, தென் கொரியா, பங்களாதேஷ், பாகிஸ்தான், இந்தோனேஷியா மற்றும் வியட்நாம் ஆகியவை பிரச்சாரத்தின் மைய புள்ளிகளாகும்.
இந்த சைபர் கிரைமினல் சிண்டிகேட் தனிப்பட்ட மற்றும் வணிக கணக்குகளை உள்ளடக்கிய நற்சான்றிதழ்கள், நிதி பதிவுகள் மற்றும் சமூக ஊடக சுயவிவரங்களை திருடுவதில் நிபுணத்துவம் பெற்றது. இந்த குறிப்பிட்ட தாக்குதலுக்கான அவர்களின் ஆயுதக் களஞ்சியத்தில் RotBot, Quasar RAT இன் தனிப்பயனாக்கப்பட்ட பதிப்பு மற்றும் XClient திருடரும் அடங்கும். கூடுதலாக, அவை AsyncRAT , NetSupport RAT , மற்றும் Rhadamanthys போன்ற ஆஃப்-தி-ஷெல்ஃப் மால்வேரைப் பயன்படுத்துகின்றன, இது தொலைநிலை அணுகலைப் பெறுவதையும் சமரசம் செய்யப்பட்ட கணினிகளிலிருந்து தகவல்களைப் பெறுவதையும் நோக்கமாகக் கொண்டுள்ளது.
பொருளடக்கம்
சைபர் கிரைமினல்கள் தேர்ந்தெடுக்கப்பட்ட இலக்குகளில் இருந்து முக்கியமான தகவல்களை சமரசம் செய்வதை நோக்கமாகக் கொண்டுள்ளனர்
வியட்நாமில் இருந்து வந்த தாக்குபவர்கள் வணிகம் மற்றும் விளம்பரக் கணக்குகளில் ஊடுருவுவதில் குறிப்பிடத்தக்க முக்கியத்துவம் கொடுத்துள்ளனர், அடுத்தடுத்த பணமாக்குதலுக்காக இந்தக் கணக்குகளின் கட்டுப்பாட்டைக் கைப்பற்ற Ducktail , NodeStealer மற்றும் VietCredCare போன்ற பல்வேறு திருட்டு தீம்பொருள் குடும்பங்களைப் பயன்படுத்துகின்றனர்.
பாதிக்கப்பட்டவர்களின் இயந்திரங்களில் இருந்து திருடப்பட்ட தகவல்களை அனுப்ப டெலிகிராமைப் பயன்படுத்துவதை அவர்களின் செயல் முறை உள்ளடக்கியது, பின்னர் இது சட்டவிரோதமான இலாபங்களை உருவாக்க இரகசிய சந்தைகளில் பரிமாற்றம் செய்யப்படுகிறது.
CoralRaider இன் ஆபரேட்டர்கள் வியட்நாமில் அமைந்துள்ளதாக சான்றுகள் தெரிவிக்கின்றன, நடிகர்களின் டெலிகிராம் கட்டளை மற்றும் கட்டுப்பாடு (C2) போட் சேனல்களில் உள்ள செய்திகள் மற்றும் அவர்களின் போட்கள், PDB சரங்கள் மற்றும் வியட்நாமிய மொழிக்கான அவர்களின் விருப்பம் போன்றவற்றின் மூலம் குறிப்பிடப்பட்டுள்ளது. பிற வியட்நாமிய சொற்கள் அவற்றின் பேலோட் பைனரிகளுக்குள் ஹார்ட்கோட் செய்யப்பட்டவை.
பல-நிலை தொற்று சங்கிலி RotBot மால்வேர் அச்சுறுத்தலை வழங்குகிறது
தாக்குதல் வரிசையானது விண்டோஸ் ஷார்ட்கட் கோப்புடன் (LNK) தொடங்குகிறது, இருப்பினும் இலக்குகளுக்கு விநியோகிக்கும் முறை தெளிவாக இல்லை. LNK கோப்பைத் திறந்தவுடன், ஒரு HTML அப்ளிகேஷன் (HTA) கோப்பு பதிவிறக்கம் செய்யப்பட்டு, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் சர்வரில் இருந்து செயல்படுத்தப்பட்டு, பின்னர் உட்பொதிக்கப்பட்ட விஷுவல் பேசிக் ஸ்கிரிப்டை இயக்கும்.
இந்த ஸ்கிரிப்ட், விஎம்-எதிர்ப்பு மற்றும் பகுப்பாய்வு-எதிர்ப்பு சோதனைகள், விண்டோஸ் பயனர் அணுகல் கட்டுப்பாட்டை (யுஏசி) புறக்கணித்தல், விண்டோஸ் மற்றும் பயன்பாட்டு அறிவிப்புகளை செயலிழக்கச் செய்தல் மற்றும் ராட்போட்டைப் பதிவிறக்கம் செய்து இயக்குதல் ஆகியவற்றிற்குப் பொறுப்பான மூன்று கூடுதல் பவர்ஷெல் ஸ்கிரிப்ட்களை டிக்ரிப்ட் செய்து தொடர்ச்சியாக செயல்படுத்துகிறது.
RotBot ஆனது டெலிகிராம் போட் உடன் தொடர்புகொள்வதற்காக கட்டமைக்கப்பட்டுள்ளது, நினைவகத்தில் XClient திருடுபவர் தீம்பொருளை மீட்டெடுத்து செயல்படுத்துகிறது. இது Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox மற்றும் Opera போன்ற இணைய உலாவிகளில் இருந்து குக்கீகள், நற்சான்றிதழ்கள் மற்றும் நிதித் தகவல்களைத் திருடுவதற்கு உதவுகிறது, அத்துடன் டிஸ்கார்ட் மற்றும் டெலிகிராம் தரவு மற்றும் திரைக்காட்சிகளைப் பிடிக்கிறது.
மேலும், XClient ஆனது பாதிக்கப்பட்டவர்களின் Facebook, Instagram, TikTok மற்றும் YouTube கணக்குகளிலிருந்து தரவைப் பிரித்தெடுக்கவும், அவர்களின் Facebook வணிகம் மற்றும் விளம்பரக் கணக்குகளுடன் தொடர்புடைய கட்டண முறைகள் மற்றும் அனுமதிகள் பற்றிய தகவல்களைப் பெறவும் வடிவமைக்கப்பட்டுள்ளது.
RotBot, Quasar RAT கிளையண்டின் தனிப்பயனாக்கப்பட்ட மாறுபாடு, அச்சுறுத்தல் நடிகரால் இந்த பிரச்சாரத்திற்காக பிரத்யேகமாக வடிவமைக்கப்பட்டு தொகுக்கப்பட்டுள்ளது. கூடுதலாக, XClient அதன் செருகுநிரல் தொகுதி மற்றும் தொலைநிலை நிர்வாகப் பணிகளைச் செய்வதற்கான பல்வேறு செயல்பாடுகள் மூலம் விரிவான தகவல்-திருடும் திறன்களைக் கொண்டுள்ளது.
இன்போஸ்டீலர்கள் பல துறைகளை குறிவைத்து கணிசமான அச்சுறுத்தலாக உள்ளனர்
Facebook இல் ஒரு தவறான விளம்பர பிரச்சாரம், Rilide, Vidar, IceRAT போன்ற பல்வேறு தகவல் திருடுபவர்களையும், நோவா ஸ்டீலர் எனப்படும் புதிதாக வெளிப்பட்ட அச்சுறுத்தலையும் ஊக்குவிப்பதற்காக, ஜெனரேட்டிவ் AI கருவிகளைச் சுற்றியுள்ள மிகைப்படுத்தலைப் பயன்படுத்திக் கொள்கிறது.
அச்சுறுத்தல் நடிகர் ஏற்கனவே இருக்கும் Facebook கணக்கின் கட்டுப்பாட்டைக் கைப்பற்றி அதன் தோற்றத்தை Google, OpenAI மற்றும் Midjourney ஆகியவற்றின் பிரபலமான AI கருவிகளைப் போல மாற்றுவதன் மூலம் தாக்குதல் தொடங்குகிறது. அவர்கள் மேடையில் விளம்பரப்படுத்தப்பட்ட விளம்பரங்களை இயக்குவதன் மூலம் தங்கள் செல்வாக்கை விரிவுபடுத்துகிறார்கள்.
எடுத்துக்காட்டாக, மிட்ஜர்னி என்று போலியான ஒரு பக்கம் மார்ச் 8, 2023 அன்று மூடப்படுவதற்கு முன்பு 1.2 மில்லியன் பின்தொடர்பவர்களைக் குவித்தது. இந்தப் பக்கங்களுக்குப் பின்னால் உள்ள நபர்கள் முதன்மையாக வியட்நாம், அமெரிக்கா, இந்தோனேசியா, யுகே மற்றும் ஆஸ்திரேலியா போன்ற நாடுகளில் உள்ளனர்.
இந்த தவறான விளம்பர பிரச்சாரங்கள், ஜெர்மனி, போலந்து, இத்தாலி, பிரான்ஸ், பெல்ஜியம், ஸ்பெயின், நெதர்லாந்து, ருமேனியா, ஸ்வீடன் மற்றும் அதற்கு அப்பால் உள்ள நாடுகளில் உள்ள ஐரோப்பிய பயனர்களை தீவிரமாக குறிவைத்து, விரிவான பரப்பை அடைய மெட்டாவின் ஸ்பான்சர் செய்யப்பட்ட விளம்பர அமைப்பைப் பயன்படுத்துகின்றன.
