มัลแวร์ RotBot
กลุ่มที่เชื่อว่ามีต้นกำเนิดมาจากเวียดนามได้รับการระบุว่ามุ่งเป้าไปที่บุคคลในประเทศต่างๆ ในเอเชียและเอเชียตะวันออกเฉียงใต้ด้วยซอฟต์แวร์คุกคามที่มีจุดมุ่งหมายเพื่อดึงข้อมูลอันมีค่าตั้งแต่อย่างน้อยในเดือนพฤษภาคม 2566 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เป็นที่รู้จักในชื่อ CoralRaider ติดตามการดำเนินการนี้อย่างใกล้ชิดโดยสังเกตถึงแรงจูงใจทางการเงิน จุดสนใจของแคมเปญ ได้แก่ อินเดีย จีน เกาหลีใต้ บังคลาเทศ ปากีสถาน อินโดนีเซีย และเวียดนาม
องค์กรอาชญากรไซเบอร์แห่งนี้เชี่ยวชาญในการขโมยข้อมูลประจำตัว บันทึกทางการเงิน และโปรไฟล์โซเชียลมีเดีย ครอบคลุมทั้งบัญชีส่วนบุคคลและบัญชีธุรกิจ คลังแสงของพวกเขาสำหรับการโจมตีครั้งนี้ ได้แก่ RotBot ซึ่งเป็นเวอร์ชันปรับแต่งของ Quasar RAT และ XClient Stealer นอกจากนี้ พวกเขายังปรับใช้มัลแวร์ที่มีอยู่ทั่วไป เช่น AsyncRAT , NetSupport RAT และ Rhadamanthys โดยมีเป้าหมายเพื่อเข้าถึงระยะไกลและดูดข้อมูลจากระบบที่ถูกบุกรุก
สารบัญ
อาชญากรไซเบอร์มุ่งหวังที่จะประนีประนอมข้อมูลที่ละเอียดอ่อนจากเป้าหมายที่เลือก
ผู้โจมตีที่มีต้นกำเนิดจากเวียดนามได้ให้ความสำคัญกับการแทรกซึมบัญชีธุรกิจและโฆษณา โดยใช้กลุ่มมัลแวร์ขโมยที่หลากหลาย เช่น Ducktail , NodeStealer และ VietCredCare เพื่อยึดการควบคุมบัญชีเหล่านี้เพื่อสร้างรายได้ในภายหลัง
วิธีการดำเนินการของพวกเขาเกี่ยวข้องกับการใช้ Telegram เพื่อส่งข้อมูลที่ถูกขโมยจากเครื่องของเหยื่อ จากนั้นจะมีการแลกเปลี่ยนในตลาดลับเพื่อสร้างผลกำไรที่ผิดกฎหมาย
หลักฐานแสดงให้เห็นว่าผู้ปฏิบัติงานของ CoralRaider ตั้งอยู่ในเวียดนาม ตามที่ระบุโดยข้อความจากนักแสดงในช่องบอท Telegram Command and Control (C2) รวมถึงการตั้งค่าภาษาเวียดนามในการตั้งชื่อบอท สตริง PDB และ คำศัพท์ภาษาเวียดนามอื่นๆ ฮาร์ดโค้ดภายในไบนารีของเพย์โหลด
ห่วงโซ่การติดไวรัสแบบหลายขั้นตอนทำให้เกิดภัยคุกคามจากมัลแวร์ RotBot
ลำดับการโจมตีเริ่มต้นด้วยไฟล์ทางลัดของ Windows (LNK) แม้ว่าวิธีการกระจายไปยังเป้าหมายจะยังไม่ชัดเจนก็ตาม เมื่อเปิดไฟล์ LNK ไฟล์แอปพลิเคชัน HTML (HTA) จะถูกดาวน์โหลดและดำเนินการจากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี จากนั้นจึงเรียกใช้สคริปต์ Visual Basic ที่ฝังไว้
ในทางกลับกัน สคริปต์นี้จะถอดรหัสและดำเนินการตามลำดับสคริปต์ PowerShell เพิ่มเติมสามสคริปต์ที่รับผิดชอบในการดำเนินการตรวจสอบ anti-VM และป้องกันการวิเคราะห์ ข้าม Windows User Access Control (UAC) ปิดใช้งาน Windows และการแจ้งเตือนแอปพลิเคชัน และดาวน์โหลดและเรียกใช้ RotBot
RotBot ได้รับการกำหนดค่าให้สื่อสารกับบอท Telegram เพื่อดึงข้อมูลและเรียกใช้มัลแวร์ XClient Stealer ในหน่วยความจำ สิ่งนี้อำนวยความสะดวกในการขโมยคุกกี้ ข้อมูลประจำตัว และข้อมูลทางการเงินจากเว็บเบราว์เซอร์ เช่น Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox และ Opera รวมถึงข้อมูล Discord และ Telegram และจับภาพหน้าจอ
นอกจากนี้ XClient ได้รับการออกแบบมาเพื่อดึงข้อมูลจากบัญชี Facebook, Instagram, TikTok และ YouTube ของเหยื่อ เพื่อรับข้อมูลเกี่ยวกับวิธีการชำระเงินและการอนุญาตที่เกี่ยวข้องกับธุรกิจ Facebook และบัญชีโฆษณาของพวกเขา
RotBot ซึ่งเป็นเวอร์ชันปรับแต่งของไคลเอ็นต์ Quasar RAT ได้รับการปรับแต่งและเรียบเรียงสำหรับแคมเปญนี้โดยเฉพาะโดยผู้คุกคาม นอกจากนี้ XClient ยังมีความสามารถในการขโมยข้อมูลอย่างกว้างขวางผ่านทางโมดูลปลั๊กอินและฟังก์ชันการทำงานต่างๆ สำหรับการดำเนินงานด้านการดูแลระบบระยะไกล
ผู้ขโมยข้อมูลยังคงเป็นภัยคุกคามที่สำคัญซึ่งมุ่งเป้าไปที่ภาคส่วนต่างๆ มากมาย
แคมเปญโฆษณามัลแวร์บน Facebook ใช้ประโยชน์จากโฆษณาที่อยู่รอบ ๆ เครื่องมือ AI เพื่อส่งเสริมผู้ขโมยข้อมูลต่างๆ เช่น Rilide, Vidar, IceRAT และภัยคุกคามที่เพิ่งเกิดขึ้นใหม่ที่เรียกว่า Nova Stealer
การโจมตีเริ่มต้นด้วยผู้คุกคามเข้าควบคุมบัญชี Facebook ที่มีอยู่ และเปลี่ยนรูปลักษณ์ให้คล้ายกับเครื่องมือ AI ยอดนิยมจาก Google, OpenAI และ Midjourney พวกเขาขยายอิทธิพลด้วยการแสดงโฆษณาที่ได้รับการสนับสนุนบนแพลตฟอร์ม
ตัวอย่างเช่น เพจปลอมที่อ้างว่า Midjourney มีผู้ติดตาม 1.2 ล้านคนก่อนที่จะปิดตัวลงในวันที่ 8 มีนาคม 2023 บุคคลที่อยู่เบื้องหลังเพจเหล่านี้ส่วนใหญ่อาศัยอยู่ในเวียดนาม สหรัฐอเมริกา อินโดนีเซีย สหราชอาณาจักร และออสเตรเลีย รวมถึงประเทศอื่นๆ
แคมเปญโฆษณามัลแวร์เหล่านี้ใช้ประโยชน์จากระบบโฆษณาที่ได้รับการสนับสนุนจาก Meta เพื่อให้เข้าถึงได้อย่างกว้างขวาง โดยกำหนดเป้าหมายผู้ใช้ชาวยุโรปในประเทศต่างๆ เช่น เยอรมนี โปแลนด์ อิตาลี ฝรั่งเศส เบลเยียม สเปน เนเธอร์แลนด์ โรมาเนีย สวีเดน และอื่นๆ
