RotBot 惡意軟體
一個據信來自越南的組織已被確定至少自2023 年5 月起就以亞洲和東南亞各國的個人為目標,使用旨在提取有價值信息的威脅軟體。網路安全專家被稱為CoralRaider,正在密切監視這一行動,並注意到其財務動機。該活動的焦點包括印度、中國、韓國、孟加拉、巴基斯坦、印尼和越南。
該網路犯罪集團專門竊取憑證、財務記錄和社交媒體資料,包括個人和企業帳戶。他們針對這種特殊攻擊的武器庫包括 RotBot、 Quasar RAT的定製版本和 XClient 竊取程式。此外,他們還部署了一系列現成的惡意軟體,例如AsyncRAT 、 NetSupport RAT和Rhadamanthys ,旨在獲取遠端存取權限並從受感染的系統中竊取資訊。
目錄
網路犯罪分子旨在洩露選定目標的敏感訊息
來自越南的攻擊者非常重視滲透商業和廣告帳戶,使用Ducktail 、 NodeStealer和VietCredCare等各種竊取惡意軟體家族來奪取這些帳戶的控制權,以便隨後獲利。
他們的作案手法包括利用 Telegram 傳輸從受害者機器上竊取的訊息,然後在秘密市場上交換以賺取非法利潤。
有證據表明,CoralRaider 的運營商位於越南,從參與者在 Telegram 命令與控制 (C2) 機器人頻道中發出的消息以及他們在命名機器人、PDB 字符串和其他越南術語硬編碼在其有效負載二進製文件中。
多階段感染鏈帶來 RotBot 惡意軟體威脅
攻擊序列以 Windows 捷徑檔案 (LNK) 啟動,但分發到目標的方法仍不清楚。開啟 LNK 檔案後,將從攻擊者控制的伺服器下載並執行 HTML 應用程式 (HTA) 文件,隨後執行嵌入的 Visual Basic 腳本。
該腳本依序解密並依序執行三個額外的 PowerShell 腳本,這些腳本負責執行反虛擬機器和反分析檢查、繞過 Windows 使用者存取控制 (UAC)、停用 Windows 和應用程式通知以及下載和執行 RotBot。
RotBot 配置為與 Telegram 機器人通信,檢索並執行記憶體中的 XClient 竊取惡意軟體。這有助於從 Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox 和 Opera 等 Web 瀏覽器中竊取 cookie、憑證和財務信息,以及 Discord 和 Telegram 資料並捕獲螢幕截圖。
此外,XClient 旨在從受害者的 Facebook、Instagram、TikTok 和 YouTube 帳戶中提取數據,以獲取有關其 Facebook 業務和廣告帳戶相關的支付方式和權限的資訊。
RotBot 是 Quasar RAT 用戶端的客製化變體,由威脅行為者專門針對此活動進行客製化和編譯。此外,XClient 透過其插件模組和執行遠端管理任務的各種功能擁有廣泛的資訊竊取功能。
資訊竊取者仍然是針對眾多產業的巨大威脅
Facebook 上的惡意廣告活動正在利用圍繞生成式 AI 工具的炒作來推廣各種資訊竊取程序,例如Rilide、 Vidar、 IceRAT以及新出現的名為 Nova Stealer 的威脅。
攻擊首先是威脅行為者奪取現有 Facebook 帳戶的控制權,並將其外觀更改為類似於 Google、OpenAI 和 Midjourney 的流行人工智慧工具。他們透過在平台上投放贊助廣告來擴大影響力。
例如,一個冒充「Midjourney」的假冒頁面在 2023 年 3 月 8 日關閉之前已累積了 120 萬粉絲。這些頁面背後的個人主要分佈在越南、美國、印尼、英國和澳洲等國家。
這些惡意廣告活動利用 Meta 的搜尋廣告系統來實現廣泛的覆蓋範圍,積極針對德國、波蘭、義大利、法國、比利時、西班牙、荷蘭、羅馬尼亞、瑞典等國家的歐洲用戶。
