Phần mềm độc hại RotBot

Một nhóm được cho là có nguồn gốc từ Việt Nam đã được xác định là nhắm mục tiêu vào các cá nhân trên nhiều quốc gia châu Á và Đông Nam Á bằng phần mềm đe dọa nhằm lấy thông tin có giá trị ít nhất kể từ tháng 5 năm 2023. Được biết đến với cái tên CoralRaider, các chuyên gia an ninh mạng giám sát chặt chẽ hoạt động này, lưu ý đến động cơ tài chính của nó. Các đầu mối của chiến dịch bao gồm Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam.

Tổ chức tội phạm mạng này chuyên đánh cắp thông tin xác thực, hồ sơ tài chính và hồ sơ mạng xã hội, bao gồm cả tài khoản cá nhân và doanh nghiệp. Kho vũ khí của họ cho cuộc tấn công cụ thể này bao gồm RotBot, một phiên bản tùy chỉnh của Quasar RAT và kẻ đánh cắp XClient. Ngoài ra, chúng còn triển khai một loạt phần mềm độc hại có sẵn, chẳng hạn như AsyncRAT , NetSupport RAT và Rhadamanthys , nhằm mục đích giành quyền truy cập từ xa và lấy cắp thông tin từ các hệ thống bị xâm nhập.

Tội phạm mạng nhằm mục đích xâm phạm thông tin nhạy cảm từ các mục tiêu đã chọn

Những kẻ tấn công có nguồn gốc từ Việt Nam đã tập trung đáng kể vào việc xâm nhập vào các tài khoản doanh nghiệp và quảng cáo, sử dụng nhiều dòng phần mềm độc hại đánh cắp như Ducktail , NodeStealer và VietCredCare để chiếm quyền kiểm soát các tài khoản này để kiếm tiền sau này.

Phương thức hoạt động của họ liên quan đến việc sử dụng Telegram để truyền thông tin ăn cắp được từ máy của nạn nhân, sau đó thông tin này được trao đổi trên các thị trường bí mật để tạo ra lợi nhuận bất hợp pháp.

Bằng chứng cho thấy những người điều hành CoralRaider được đặt tại Việt Nam, như được chỉ ra bởi các tin nhắn từ các tác nhân trong kênh bot Telegram Command and Control (C2) của họ, cũng như việc họ ưu tiên ngôn ngữ tiếng Việt trong việc đặt tên cho bot, chuỗi PDB và các thuật ngữ tiếng Việt khác được mã hóa cứng trong các mã nhị phân tải trọng của chúng.

Chuỗi lây nhiễm nhiều giai đoạn mang đến mối đe dọa phần mềm độc hại RotBot

Chuỗi tấn công bắt đầu bằng tệp lối tắt Windows (LNK), mặc dù phương pháp phân phối tới các mục tiêu vẫn chưa rõ ràng. Khi mở tệp LNK, tệp ứng dụng HTML (HTA) sẽ được tải xuống và thực thi từ máy chủ do kẻ tấn công kiểm soát, sau đó chạy tập lệnh Visual Basic được nhúng.

Tập lệnh này lần lượt giải mã và thực thi tuần tự ba tập lệnh PowerShell bổ sung chịu trách nhiệm tiến hành kiểm tra chống VM và chống phân tích, bỏ qua Kiểm soát truy cập người dùng Windows (UAC), tắt thông báo ứng dụng và Windows cũng như tải xuống và thực thi RotBot.

RotBot được cấu hình để giao tiếp với bot Telegram, truy xuất và thực thi phần mềm độc hại đánh cắp XClient trong bộ nhớ. Điều này tạo điều kiện cho việc đánh cắp cookie, thông tin xác thực và thông tin tài chính từ các trình duyệt Web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera, cũng như dữ liệu Discord và Telegram và chụp ảnh màn hình.

Hơn nữa, XClient được thiết kế để trích xuất dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân, lấy thông tin về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo và kinh doanh trên Facebook của họ.

RotBot, một biến thể tùy chỉnh của ứng dụng khách Quasar RAT, đã được kẻ tấn công điều chỉnh và biên soạn riêng cho chiến dịch này. Ngoài ra, XClient còn tự hào có khả năng đánh cắp thông tin sâu rộng thông qua mô-đun plugin và nhiều chức năng khác nhau để thực hiện các tác vụ quản trị từ xa.

Kẻ đánh cắp thông tin vẫn là mối đe dọa đáng kể nhắm mục tiêu vào nhiều lĩnh vực

Một chiến dịch quảng cáo độc hại trên Facebook đang khai thác sự cường điệu xung quanh các công cụ AI tổng hợp để quảng bá cho nhiều kẻ đánh cắp thông tin khác nhau như Rilide, Vidar, IceRAT và một mối đe dọa mới nổi có tên Nova Stealer.

Cuộc tấn công bắt đầu bằng việc kẻ tấn công chiếm quyền kiểm soát tài khoản Facebook hiện có và thay đổi giao diện của nó để giống với các công cụ AI phổ biến của Google, OpenAI và Midjourney. Họ mở rộng tầm ảnh hưởng của mình bằng cách chạy các quảng cáo được tài trợ trên nền tảng này.

Ví dụ: một trang giả mạo giả danh Midjourney đã thu hút được 1,2 triệu người theo dõi trước khi nó bị đóng cửa vào ngày 8 tháng 3 năm 2023. Các cá nhân đằng sau những trang này chủ yếu sống ở Việt Nam, Mỹ, Indonesia, Anh và Úc, cùng các quốc gia khác.

Các chiến dịch quảng cáo độc hại này tận dụng hệ thống quảng cáo được tài trợ của Meta để đạt được phạm vi tiếp cận rộng rãi, chủ động nhắm mục tiêu đến người dùng châu Âu ở các quốc gia như Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và hơn thế nữa.