RotBot Kötü Amaçlı Yazılım

Vietnam kökenli olduğuna inanılan bir grubun, en az Mayıs 2023'ten bu yana değerli bilgileri ele geçirmeyi amaçlayan tehdit yazılımlarıyla çeşitli Asya ve Güneydoğu Asya ülkelerindeki bireyleri hedef aldığı belirlendi. CoralRaider olarak bilinen siber güvenlik uzmanları, bu operasyonu yakından izliyor ve mali amaçlarını not ediyor. Kampanyanın odak noktaları arasında Hindistan, Çin, Güney Kore, Bangladeş, Pakistan, Endonezya ve Vietnam yer alıyor.

Bu siber suç örgütü, hem kişisel hem de ticari hesapları kapsayan kimlik bilgilerini, finansal kayıtları ve sosyal medya profillerini çalma konusunda uzmanlaşmıştır. Bu özel saldırıya yönelik cephanelikleri arasında Quasar RAT'ın özelleştirilmiş bir versiyonu olan RotBot ve XClient hırsızı yer alıyor. Ek olarak, uzaktan erişim sağlamayı ve güvenliği ihlal edilmiş sistemlerden bilgi çekmeyi amaçlayan AsyncRAT , NetSupport RAT ve Rhadamanthys gibi bir dizi kullanıma hazır kötü amaçlı yazılım dağıtıyorlar.

Siber Suçlular Seçilmiş Hedeflerden Gelen Hassas Bilgilerin Ele Geçirilmesini Amaçlıyor

Vietnam kökenli saldırganlar, daha sonra para kazanmak amacıyla bu hesapların kontrolünü ele geçirmek için Ducktail , NodeStealer ve VietCredCare gibi çeşitli hırsız kötü amaçlı yazılım ailelerini kullanarak işletme ve reklam hesaplarına sızmaya büyük önem veriyor.

Yöntemleri, kurbanların makinelerinden çalınan bilgileri iletmek için Telegram'ın kullanılmasını ve bu bilgilerin daha sonra yasadışı kar elde etmek için gizli pazarlarda takas edilmesini içeriyor.

Kanıtlar, CoralRaider operatörlerinin, Telegram Komuta ve Kontrol (C2) bot kanallarındaki aktörlerden gelen mesajların yanı sıra botlarını, PDB dizelerini ve diğerlerini adlandırırken Vietnam dilini tercih etmelerinin de gösterdiği gibi Vietnam'da bulunduğunu gösteriyor. diğer Vietnamca terimler, yük ikili dosyalarına sabit kodlanmıştır.

Çok Aşamalı Bir Enfeksiyon Zinciri, RotBot Kötü Amaçlı Yazılım Tehdidini Sağlıyor

Saldırı dizisi bir Windows kısayol dosyasıyla (LNK) başlıyor, ancak hedeflere dağıtım yöntemi belirsizliğini koruyor. LNK dosyasının açılması üzerine, saldırgan tarafından kontrol edilen bir sunucudan bir HTML uygulaması (HTA) dosyası indirilir ve yürütülür, ardından gömülü bir Visual Basic komut dosyası çalıştırılır.

Bu komut dosyası, anti-VM ve anti-analiz kontrollerini gerçekleştirmekten, Windows Kullanıcı Erişim Denetimini (UAC) atlamaktan, Windows'u ve uygulama bildirimlerini devre dışı bırakmaktan ve RotBot'u indirip çalıştırmaktan sorumlu üç ek PowerShell komut dosyasının şifresini çözer ve sırayla yürütür.

RotBot, bir Telegram botu ile iletişim kurarak bellekteki XClient hırsız kötü amaçlı yazılımını alıp çalıştıracak şekilde yapılandırılmıştır. Bu, Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ve Opera gibi Web tarayıcılarının yanı sıra Discord ve Telegram verilerinin, çerezlerin, kimlik bilgilerinin ve finansal bilgilerin çalınmasını kolaylaştırır ve ekran görüntüleri yakalar.

Ayrıca XClient, kurbanların Facebook, Instagram, TikTok ve YouTube hesaplarından veri çıkarmak, ödeme yöntemleri ve Facebook işletmeleri ve reklam hesaplarıyla ilgili izinler hakkında bilgi edinmek için tasarlandı.

Quasar RAT istemcisinin özelleştirilmiş bir çeşidi olan RotBot, tehdit aktörü tarafından bu kampanyaya özel olarak uyarlandı ve derlendi. Ek olarak XClient, eklenti modülü ve uzaktan yönetim görevlerini yürütmek için çeşitli işlevler aracılığıyla kapsamlı bilgi çalma yeteneklerine sahiptir.

Bilgi Hırsızları Çok Sayıda Sektörü Hedef Alan Önemli Bir Tehdit Olmaya Devam Ediyor

Facebook'taki bir kötü amaçlı reklam kampanyası , Rilide, Vidar, IceRAT gibi çeşitli bilgi hırsızlarını ve Nova Stealer adlı yeni ortaya çıkan bir tehdidi tanıtmak için üretken yapay zeka araçlarını çevreleyen abartılı reklamdan yararlanıyor.

Saldırı, tehdit aktörünün mevcut bir Facebook hesabının kontrolünü ele geçirmesi ve Google, OpenAI ve Midjourney'in popüler yapay zeka araçlarına benzeyecek şekilde görünümünü değiştirmesiyle başlıyor. Platformda sponsorlu reklamlar yayınlayarak nüfuzlarını genişletiyorlar.

Örneğin, Midjourney gibi görünen sahte bir sayfa, 8 Mart 2023'te kapatılmadan önce 1,2 milyon takipçi topladı. Bu sayfaların arkasındaki kişiler diğer ülkelerin yanı sıra çoğunlukla Vietnam, ABD, Endonezya, İngiltere ve Avustralya'da bulunuyordu.

Bu kötü amaçlı reklam kampanyaları, Almanya, Polonya, İtalya, Fransa, Belçika, İspanya, Hollanda, Romanya, İsveç ve ötesindeki ülkelerdeki Avrupalı kullanıcıları aktif olarak hedefleyerek kapsamlı bir erişim sağlamak için Meta'nın sponsorlu reklam sisteminden yararlanıyor.