Шкідливе програмне забезпечення RotBot
Встановлено, що група, яка ймовірно походить із В’єтнаму, націлює на окремих осіб у різних країнах Азії та Південно-Східної Азії за допомогою загрозливого програмного забезпечення, спрямованого на вилучення цінної інформації, принаймні з травня 2023 року. Експерти з кібербезпеки, відомі як CoralRaider, уважно стежать за цією операцією, відзначаючи її фінансові мотиви. Центри кампанії включають Індію, Китай, Південну Корею, Бангладеш, Пакистан, Індонезію та В’єтнам.
Цей синдикат кіберзлочинців спеціалізується на крадіжці облікових даних, фінансових записів і профілів у соціальних мережах, що охоплює як особисті, так і бізнес-акаунти. Їхній арсенал для цього конкретного нападу включає RotBot, налаштовану версію Quasar RAT і крадіжку XClient. Крім того, вони розгортають низку готових зловмисних програм, таких як AsyncRAT , NetSupport RAT і Rhadamanthys , спрямованих на отримання віддаленого доступу та перекачування інформації з скомпрометованих систем.
Зміст
Кіберзлочинці прагнуть скомпрометувати конфіденційну інформацію від обраних цілей
Зловмисники, які походять із В’єтнаму, зробили значний наголос на проникненні в бізнес-акаунти та рекламні облікові записи, використовуючи різноманітні сімейства зловмисних програм, таких як Ducktail , NodeStealer і VietCredCare , щоб захопити контроль над цими обліковими записами для подальшої монетизації.
Їхній спосіб дії передбачає використання Telegram для передачі вкраденої інформації з машин жертв, яка потім обмінюється на підпільних ринках для отримання незаконного прибутку.
Докази свідчать про те, що оператори CoralRaider розташовані у В’єтнамі, про що свідчать повідомлення від акторів у каналах їхніх ботів Telegram Command and Control (C2), а також їхні переваги в’єтнамській мові в іменах своїх ботів, рядках PDB та інші в’єтнамські терміни, жорстко закодовані в їхніх бінарних файлах.
Багатоетапний ланцюжок зараження створює загрозу зловмисного програмного забезпечення RotBot
Послідовність атаки починається з файлу ярлика Windows (LNK), хоча метод розповсюдження до цілей залишається незрозумілим. Після відкриття файлу LNK файл програми HTML (HTA) завантажується та виконується з сервера, контрольованого зловмисником, згодом запускаючи вбудований сценарій Visual Basic.
Цей сценарій, у свою чергу, розшифровує та послідовно виконує три додаткові сценарії PowerShell, відповідальні за проведення анти-VM та антианалізу перевірок, обхід Windows User Access Control (UAC), дезактивацію сповіщень Windows і програм, а також завантаження та виконання RotBot.
RotBot налаштований на зв’язок із ботом Telegram, отримання та виконання зловмисного програмного забезпечення XClient у пам’яті. Це полегшує крадіжку файлів cookie, облікових даних і фінансової інформації з таких веб-браузерів, як Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox і Opera, а також даних Discord і Telegram і робить знімки екрана.
Крім того, XClient призначений для отримання даних з облікових записів жертв у Facebook, Instagram, TikTok і YouTube, отримання інформації про способи оплати та дозволи, пов’язані з їхніми обліковими записами бізнесу та реклами у Facebook.
RotBot, налаштований варіант клієнта Quasar RAT, був адаптований і скомпільований спеціально для цієї кампанії учасником загрози. Крім того, XClient може похвалитися розширеними можливостями крадіжки інформації через модуль плагіна та різноманітні функції для виконання завдань віддаленого адміністрування.
Викрадачі інформації залишаються значною загрозою, спрямованою на численні сектори
Кампанія шкідливої реклами на Facebook використовує ажіотаж навколо генеративних інструментів штучного інтелекту для просування різних викрадачів інформації, таких як Rilide, Vidar, IceRAT і нової загрози під назвою Nova Stealer.
Атака починається з того, що зловмисник захоплює контроль над існуючим обліковим записом Facebook і змінює його зовнішній вигляд, щоб він нагадував популярні інструменти ШІ від Google, OpenAI і Midjourney. Вони розширюють свій вплив, розміщуючи спонсоровану рекламу на платформі.
Наприклад, підроблена сторінка під назвою Midjourney зібрала 1,2 мільйона підписників, перш ніж її закрили 8 березня 2023 року. Особи, які стояли за цими сторінками, перебували переважно у В’єтнамі, США, Індонезії, Великій Британії та Австралії та інших країнах.
Ці кампанії шкідливої реклами використовують спонсоровану рекламну систему Meta для досягнення широкого охоплення, активно орієнтуючись на європейських користувачів у таких країнах, як Німеччина, Польща, Італія, Франція, Бельгія, Іспанія, Нідерланди, Румунія, Швеція та інших країнах.
