RotBot మాల్వేర్

కనీసం మే 2023 నుండి విలువైన సమాచారాన్ని సేకరించే లక్ష్యంతో బెదిరింపు సాఫ్ట్‌వేర్‌తో వివిధ ఆసియా మరియు ఆగ్నేయాసియా దేశాలలోని వ్యక్తులను లక్ష్యంగా చేసుకున్నట్లు వియత్నాం నుండి ఉద్భవించిందని విశ్వసిస్తున్న సమూహం గుర్తించబడింది. ప్రచారం యొక్క కేంద్ర బిందువులలో భారతదేశం, చైనా, దక్షిణ కొరియా, బంగ్లాదేశ్, పాకిస్తాన్, ఇండోనేషియా మరియు వియత్నాం ఉన్నాయి.

ఈ సైబర్‌క్రిమినల్ సిండికేట్ వ్యక్తిగత మరియు వ్యాపార ఖాతాలను కలిగి ఉన్న ఆధారాలు, ఆర్థిక రికార్డులు మరియు సోషల్ మీడియా ప్రొఫైల్‌లను దొంగిలించడంలో ప్రత్యేకత కలిగి ఉంది. ఈ ప్రత్యేక దాడి కోసం వారి ఆయుధశాలలో RotBot, క్వాసర్ RAT మరియు XClient స్టీలర్ యొక్క అనుకూలీకరించిన వెర్షన్ ఉన్నాయి. అదనంగా, వారు AsyncRAT , NetSupport RAT , మరియు Rhadamanthys వంటి అనేక రకాల ఆఫ్-ది-షెల్ఫ్ మాల్వేర్‌లను అమలు చేస్తారు, ఇవి రిమోట్ యాక్సెస్‌ను పొందడం మరియు రాజీపడిన సిస్టమ్‌ల నుండి సమాచారాన్ని పొందడం లక్ష్యంగా పెట్టుకున్నాయి.

ఎంచుకున్న లక్ష్యాల నుండి సున్నితమైన సమాచారాన్ని రాజీ చేయడమే సైబర్ నేరగాళ్ల లక్ష్యం

వియత్నాం నుండి వచ్చిన దాడిదారులు వ్యాపారం మరియు ప్రకటనల ఖాతాలలోకి చొరబడటంపై గణనీయమైన దృష్టి పెట్టారు, తదుపరి మానిటైజేషన్ కోసం ఈ ఖాతాలపై నియంత్రణను స్వాధీనం చేసుకోవడానికి డక్‌టెయిల్ , నోడ్‌స్టీలర్ మరియు వియెట్‌క్రెడ్‌కేర్ వంటి అనేక రకాల దొంగిలించే మాల్వేర్ కుటుంబాలను నియమించారు.

బాధితుల మెషీన్ల నుండి దొంగిలించబడిన సమాచారాన్ని ప్రసారం చేయడానికి టెలిగ్రామ్‌ను ఉపయోగించడం వారి కార్యనిర్వహణ పద్ధతిని కలిగి ఉంటుంది, ఇది చట్టవిరుద్ధమైన లాభాలను సంపాదించడానికి రహస్య మార్కెట్‌లలో మార్పిడి చేయబడుతుంది.

వారి టెలిగ్రామ్ కమాండ్ మరియు కంట్రోల్ (C2) బాట్ ఛానెల్‌లలోని నటీనటుల సందేశాలు, అలాగే వారి బాట్‌లు, PDB స్ట్రింగ్‌లకు పేరు పెట్టడంలో వియత్నామీస్ భాషకు వారి ప్రాధాన్యతను సూచించినట్లుగా, CoralRaider యొక్క ఆపరేటర్లు వియత్నాంలో ఉన్నారని ఆధారాలు సూచిస్తున్నాయి. ఇతర వియత్నామీస్ పదాలు వాటి పేలోడ్ బైనరీలలో హార్డ్‌కోడ్ చేయబడ్డాయి.

ఒక బహుళ-దశల ఇన్ఫెక్షన్ చైన్ RotBot మాల్వేర్ ముప్పును అందిస్తుంది

దాడి క్రమం Windows షార్ట్‌కట్ ఫైల్ (LNK)తో ప్రారంభమవుతుంది, అయితే లక్ష్యాలకు పంపిణీ చేసే విధానం అస్పష్టంగానే ఉంది. LNK ఫైల్‌ను తెరిచిన తర్వాత, దాడి చేసే వారిచే నియంత్రించబడే సర్వర్ నుండి HTML అప్లికేషన్ (HTA) ఫైల్ డౌన్‌లోడ్ చేయబడుతుంది మరియు అమలు చేయబడుతుంది, తదనంతరం పొందుపరిచిన విజువల్ బేసిక్ స్క్రిప్ట్‌ను అమలు చేస్తుంది.

ఈ స్క్రిప్ట్, యాంటీ-విఎమ్ మరియు యాంటీ-ఎనాలిసిస్ చెక్‌లను నిర్వహించడం, విండోస్ యూజర్ యాక్సెస్ కంట్రోల్ (యుఎసి)ని దాటవేయడం, విండోస్ మరియు అప్లికేషన్ నోటిఫికేషన్‌లను డియాక్టివేట్ చేయడం మరియు రోట్‌బాట్‌ని డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం వంటి మూడు అదనపు పవర్‌షెల్ స్క్రిప్ట్‌లను డీక్రిప్ట్ చేస్తుంది మరియు సీక్వెన్షియల్‌గా అమలు చేస్తుంది.

RotBot ఒక టెలిగ్రామ్ బాట్‌తో కమ్యూనికేట్ చేయడానికి కాన్ఫిగర్ చేయబడింది, మెమరీలో XClient స్టీలర్ మాల్వేర్‌ను తిరిగి పొందడం మరియు అమలు చేయడం. ఇది బ్రేవ్, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox మరియు Opera వంటి వెబ్ బ్రౌజర్‌ల నుండి కుక్కీలు, ఆధారాలు మరియు ఆర్థిక సమాచారాన్ని దొంగిలించడాన్ని సులభతరం చేస్తుంది, అలాగే డిస్కార్డ్ మరియు టెలిగ్రామ్ డేటా మరియు స్క్రీన్‌షాట్‌లను సంగ్రహిస్తుంది.

ఇంకా, XClient అనేది బాధితుల Facebook, Instagram, TikTok మరియు YouTube ఖాతాల నుండి డేటాను సేకరించేందుకు, వారి Facebook వ్యాపారం మరియు ప్రకటన ఖాతాలతో అనుబంధించబడిన చెల్లింపు పద్ధతులు మరియు అనుమతుల గురించి సమాచారాన్ని పొందేందుకు రూపొందించబడింది.

RotBot, Quasar RAT క్లయింట్ యొక్క అనుకూలీకరించిన వేరియంట్, బెదిరింపు నటుడు ఈ ప్రచారం కోసం ప్రత్యేకంగా రూపొందించబడింది మరియు సంకలనం చేయబడింది. అదనంగా, XClient దాని ప్లగిన్ మాడ్యూల్ మరియు రిమోట్ అడ్మినిస్ట్రేటివ్ టాస్క్‌లను అమలు చేయడానికి వివిధ కార్యాచరణల ద్వారా విస్తృతమైన సమాచారాన్ని దొంగిలించే సామర్థ్యాలను కలిగి ఉంది.

ఇన్ఫోస్టీలర్లు అనేక రంగాలను లక్ష్యంగా చేసుకుని గణనీయమైన ముప్పుగా ఉన్నారు

Facebookలో మాల్వర్టైజింగ్ ప్రచారం Rilide, Vidar, IceRAT మరియు నోవా స్టీలర్ అనే కొత్తగా ఉద్భవించిన ముప్పు వంటి వివిధ సమాచార దొంగలాలను ప్రోత్సహించడానికి ఉత్పాదక AI సాధనాల చుట్టూ ఉన్న హైప్‌ను ఉపయోగించుకుంటుంది.

బెదిరింపు నటుడు ఇప్పటికే ఉన్న Facebook ఖాతాపై నియంత్రణను స్వాధీనం చేసుకోవడం మరియు Google, OpenAI మరియు మిడ్‌జర్నీ నుండి ప్రసిద్ధ AI సాధనాలను పోలి ఉండేలా దాని రూపాన్ని మార్చడంతో దాడి ప్రారంభమవుతుంది. ప్లాట్‌ఫారమ్‌లో ప్రాయోజిత ప్రకటనలను అమలు చేయడం ద్వారా వారు తమ ప్రభావాన్ని విస్తరించారు.

ఉదాహరణకు, మిడ్‌జర్నీ పేరుతో నకిలీ పేజీ మార్చి 8, 2023న మూసివేయబడటానికి ముందు 1.2 మిలియన్ల మంది అనుచరులను సంపాదించుకుంది. ఈ పేజీల వెనుక ఉన్న వ్యక్తులు ప్రధానంగా వియత్నాం, US, ఇండోనేషియా, UK మరియు ఆస్ట్రేలియాతో పాటు ఇతర దేశాలలో ఉన్నారు.

జర్మనీ, పోలాండ్, ఇటలీ, ఫ్రాన్స్, బెల్జియం, స్పెయిన్, నెదర్లాండ్స్, రొమేనియా, స్వీడన్ మరియు అంతకు మించిన దేశాలలో యూరోపియన్ వినియోగదారులను చురుకుగా లక్ష్యంగా చేసుకుని, విస్తృతమైన విస్తరణను సాధించడానికి ఈ మాల్వర్టైజింగ్ ప్రచారాలు మెటా యొక్క ప్రాయోజిత ప్రకటన వ్యవస్థను ప్రభావితం చేస్తాయి.