RotBot 恶意软件

一个据信来自越南的组织已被确认自 2023 年 5 月起开始使用威胁软件攻击亚洲和东南亚各国的个人，旨在窃取有价值的信息。该组织被称为 CoralRaider，网络安全专家密切监视这一行动，并注意到其经济动机。该行动的重点包括印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。

这个网络犯罪集团专门窃取个人和企业账户的凭证、财务记录和社交媒体资料。他们为这次攻击使用的武器包括 RotBot、 Quasar RAT的定制版本和 XClient 窃取程序。此外，他们还部署了一系列现成的恶意软件，例如AsyncRAT 、 NetSupport RAT和Rhadamanthys ，旨在获取远程访问权限并从受感染的系统中窃取信息。

网络犯罪分子的目标是窃取特定目标的敏感信息

来自越南的攻击者非常重视入侵商业和广告账户，他们使用Ducktail 、 NodeStealer和VietCredCare等各种窃取恶意软件家族来控制这些账户，以便随后进行货币化。

他们的作案手法是利用 Telegram 传输从受害者机器上窃取的信息，然后在秘密市场上进行交易以获取非法利润。

有证据表明，CoralRaider 的运营者位于越南，这一点从参与者在 Telegram 指挥和控制 (C2) 机器人频道中发送的消息，以及他们喜欢用越南语来命名他们的机器人、PDB 字符串和在其有效载荷二进制文件中硬编码的其他越南语术语可以看出。

多阶段感染链传播 RotBot 恶意软件威胁

攻击序列以 Windows 快捷方式文件 (LNK) 开始，但分发给目标的方法尚不清楚。打开 LNK 文件后，会从攻击者控制的服务器下载并执行 HTML 应用程序 (HTA) 文件，随后运行嵌入的 Visual Basic 脚本。

该脚本依次解密并按顺序执行另外三个 PowerShell 脚本，负责进行反虚拟机和反分析检查、绕过 Windows 用户访问控制 (UAC)、停用 Windows 和应用程序通知以及下载和执行 RotBot。

RotBot 配置为与 Telegram 机器人通信，在内存中检索并执行 XClient 窃取恶意软件。这有助于从 Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox 和 Opera 等 Web 浏览器以及 Discord 和 Telegram 数据中窃取 cookie、凭据和财务信息并捕获屏幕截图。

此外，XClient 旨在从受害者的 Facebook、Instagram、TikTok 和 YouTube 帐户中提取数据，获取与他们的 Facebook 业务和广告帐户相关的付款方式和权限的信息。

RotBot 是 Quasar RAT 客户端的定制变体，由威胁行为者专门为此次活动量身定制和编译。此外，XClient 通过其插件模块和执行远程管理任务的各种功能拥有广泛的信息窃取能力。

信息窃取者仍然是针对众多行业的巨大威胁

Facebook 上的恶意广告活动正在利用围绕生成式 AI 工具的炒作来推广各种信息窃取程序，如Rilide、 Vidar、 IceRAT以及新出现的威胁 Nova Stealer。

攻击始于威胁者控制现有 Facebook 帐户，并将其外观改变为类似于 Google、OpenAI 和 Midjourney 的热门 AI 工具。他们通过在该平台上投放赞助广告来扩大影响力。

例如，一个冒充 Midjourney 的假冒页面在 2023 年 3 月 8 日被关闭之前已经积累了 120 万粉丝。这些页面背后的个人主要位于越南、美国、印度尼西亚、英国和澳大利亚等国家。

这些恶意广告活动利用 Meta 的赞助广告系统实现广泛的传播，积极瞄准德国、波兰、意大利、法国、比利时、西班牙、荷兰、罗马尼亚、瑞典等国家的欧洲用户。