RotBot-malware brugt på asiatiske ofre

En formodet trusselsaktør af vietnamesisk oprindelse er blevet observeret målrettet mod individer i forskellige asiatiske og sydøstasiatiske nationer med ondsindet software rettet mod at udtrække værdifulde data siden mindst maj 2023. Identificeret af Cisco Talos som CoralRaider, ser denne gruppe ud til at være drevet af økonomiske motiver. Deres kampagne strækker sig over Indien, Kina, Sydkorea, Bangladesh, Pakistan, Indonesien og Vietnam.

Sikkerhedsforskere Chetan Raghuprasad og Joey Chen har bemærket, at CoralRaider koncentrerer sig om at stjæle ofrenes legitimationsoplysninger, økonomiske optegnelser og profiler på sociale medier, herunder forretnings- og reklamekonti. De implementerer tilpassede varianter af Quasar RAT ved navn RotBot og XClient stealer som deres primære værktøjer.

Ud over disse anvender gruppen forskellige off-the-shelf malware såsom AsyncRAT, NetSupport RAT og Rhadamanthys til fjernadgang og datatyveri. Især i Vietnam har de vist interesse for at tage kontrol over forretnings- og reklamekonti ved hjælp af malware-familier som Ducktail, NodeStealer og VietCredCare.

Telegam bruges til at tragte stjålne data

De stjålne oplysninger overføres gennem Telegram og sælges på underjordiske markeder for profit. CoralRaiders operatører menes at være baseret i Vietnam, hvilket fremgår af deres kommunikation på Telegram-kanaler og brugen af vietnamesiske sprogelementer i deres værktøjer.

Deres angreb begynder typisk med en Windows-genvejsfil (LNK), selvom distributionsmetoden forbliver uklar. Ved åbning af LNK-filen downloades en HTML-applikation (HTA) fra en server, der styres af angriberen, hvilket udløser et indlejret Visual Basic-script. Dette script dekrypterer og udfører tre PowerShell-scripts fortløbende, ansvarlige for forskellige undvigelsestaktikker og implementeringen af RotBot.

RotBot, når den er aktiveret, forbindes med en Telegram-bot for at hente og udføre XClient-tyveren i hukommelsen. Denne malware har specialiseret sig i at høste cookies, legitimationsoplysninger og økonomiske data fra populære webbrowsere som Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox og Opera, sammen med data fra Discord og Telegram.

Ydermere er XClient designet til at udtrække information fra ofres sociale mediekonti som Facebook, Instagram, TikTok og YouTube, herunder detaljer relateret til betalingsmetoder og tilladelser forbundet med Facebooks forretnings- og reklamekonti.