RotBot Malware
Ang isang grupong pinaniniwalaang nagmula sa Vietnam ay natukoy na nagta-target ng mga indibidwal sa iba't ibang bansa sa Asia at Southeast Asian na may nagbabantang software na naglalayong kumuha ng mahalagang impormasyon mula noong Mayo 2023. Kilala bilang CoralRaider, mahigpit na sinusubaybayan ng mga dalubhasa sa cybersecurity ang operasyong ito, na binabanggit ang mga motibong pinansyal nito. Kabilang sa mga focal point ng kampanya ang India, China, South Korea, Bangladesh, Pakistan, Indonesia at Vietnam.
Ang cybercriminal syndicate na ito ay dalubhasa sa pagnanakaw ng mga kredensyal, mga rekord sa pananalapi, at mga profile sa social media, na sumasaklaw sa parehong personal at mga account sa negosyo. Kasama sa kanilang arsenal para sa partikular na pag-atakeng ito ang RotBot, isang customized na bersyon ng Quasar RAT at ang XClient stealer. Bukod pa rito, nag-deploy sila ng isang hanay ng off-the-shelf na malware, gaya ng AsyncRAT , ang NetSupport RAT , at Rhadamanthys , na naglalayong makakuha ng malayuang pag-access at pagsipsip ng impormasyon mula sa mga nakompromisong system.
Talaan ng mga Nilalaman
Layunin ng mga Cybercriminal na Ikompromiso ang Sensitibong Impormasyon mula sa Mga Napiling Target
Ang mga attacker na nagmula sa Vietnam ay nagbigay ng malaking diin sa paglusot sa mga account ng negosyo at advertisement, na gumagamit ng iba't ibang pamilya ng malware ng magnanakaw gaya ng Ducktail , NodeStealer at VietCredCare upang kunin ang kontrol sa mga account na ito para sa kasunod na monetization.
Ang kanilang modus operandi ay nagsasangkot ng paggamit ng Telegram upang ipadala ang mga ninakaw na impormasyon mula sa mga makina ng mga biktima, na pagkatapos ay ipinagpapalit sa mga lihim na merkado upang makabuo ng labag sa batas na kita.
Iminumungkahi ng ebidensya na ang mga operator ng CoralRaider ay matatagpuan sa Vietnam, gaya ng ipinahiwatig ng mga mensahe mula sa mga aktor sa kanilang Telegram Command and Control (C2) na mga bot channel, pati na rin ang kanilang kagustuhan sa wikang Vietnamese sa pagbibigay ng pangalan sa kanilang mga bot, mga string ng PDB, at iba pang mga terminong Vietnamese na naka-hardcode sa loob ng kanilang mga binary ng payload.
Isang Multi-stage na Infection Chain ang Naghahatid ng RotBot Malware Threat
Ang pagkakasunud-sunod ng pag-atake ay nagsisimula sa isang Windows shortcut file (LNK), bagaman ang paraan ng pamamahagi sa mga target ay nananatiling hindi malinaw. Sa pagbubukas ng LNK file, ang isang HTML application (HTA) na file ay dina-download at ipapatupad mula sa isang server na kinokontrol ng umaatake, at pagkatapos ay nagpapatakbo ng isang naka-embed na Visual Basic script.
Ang script na ito, sa turn, ay nagde-decrypt at sunud-sunod na nagpapatupad ng tatlong karagdagang PowerShell script na responsable para sa pagsasagawa ng mga anti-VM at anti-analysis na pagsusuri, pag-bypass sa Windows User Access Control (UAC), pag-deactivate ng Windows at mga notification ng application, at pag-download at pag-execute ng RotBot.
Ang RotBot ay na-configure upang makipag-usap sa isang Telegram bot, na kinukuha at i-execute ang XClient stealer malware sa memorya. Pinapadali nito ang pagnanakaw ng cookies, kredensyal, at impormasyong pinansyal mula sa mga Web browser tulad ng Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, at Opera, pati na rin ang data ng Discord at Telegram at kumukuha ng mga screenshot.
Higit pa rito, ang XClient ay idinisenyo upang kunin ang data mula sa mga account sa Facebook, Instagram, TikTok, at YouTube ng mga biktima, na kumukuha ng impormasyon tungkol sa mga paraan ng pagbabayad at mga pahintulot na nauugnay sa kanilang negosyo sa Facebook at mga account sa advertisement.
Ang RotBot, isang customized na variant ng Quasar RAT client, ay iniakma at partikular na pinagsama para sa campaign na ito ng threat actor. Bukod pa rito, ipinagmamalaki ng XClient ang malawak na kakayahan sa pagnanakaw ng impormasyon sa pamamagitan ng module ng plugin nito at iba't ibang mga pag-andar para sa pagpapatupad ng mga remote na gawaing pang-administratibo.
Ang mga Infostealers ay Nananatiling Isang Malaking Banta na Nagta-target sa Maraming Sektor
Sinasamantala ng isang malvertising campaign sa Facebook ang hype na nakapalibot sa mga generative na tool ng AI upang i-promote ang iba't ibang mga magnanakaw ng impormasyon tulad ng Rilide, Vidar, IceRAT at isang bagong umusbong na banta na tinatawag na Nova Stealer.
Nagsisimula ang pag-atake sa pananakot na aktor na kumukuha ng kontrol sa isang umiiral nang Facebook account at binabago ang hitsura nito upang maging katulad ng mga sikat na tool ng AI mula sa Google, OpenAI at Midjourney. Pinapalawak nila ang kanilang impluwensya sa pamamagitan ng pagpapatakbo ng mga naka-sponsor na advertisement sa platform.
Halimbawa, ang isang pekeng page na nagpapanggap bilang Midjourney ay nakakuha ng 1.2 milyong tagasunod bago ito isara noong Marso 8, 2023. Ang mga indibidwal sa likod ng mga page na ito ay pangunahing matatagpuan sa Vietnam, US, Indonesia, UK, at Australia, bukod sa iba pang mga bansa.
Ginagamit ng mga malvertising campaign na ito ang naka-sponsor na ad system ng Meta upang makamit ang malawak na outreach, na aktibong nagta-target ng mga European user sa mga bansang gaya ng Germany, Poland, Italy, France, Belgium, Spain, Netherlands, Romania, Sweden at higit pa.
