Κακόβουλο λογισμικό RotBot που χρησιμοποιείται σε ασιατικά θύματα

Ένας ύποπτος παράγοντας απειλής Βιετναμέζικης καταγωγής έχει παρατηρηθεί να στοχεύει άτομα σε διάφορα έθνη της Ασίας και της Νοτιοανατολικής Ασίας με κακόβουλο λογισμικό που στοχεύει στην εξαγωγή πολύτιμων δεδομένων τουλάχιστον από τον Μάιο του 2023. Η ομάδα αυτή, η οποία προσδιορίστηκε από τον Cisco Talos ως CoralRaider, φαίνεται να κινείται από οικονομικά κίνητρα. Η καμπάνια τους εκτείνεται σε Ινδία, Κίνα, Νότια Κορέα, Μπαγκλαντές, Πακιστάν, Ινδονησία και Βιετνάμ.

Οι ερευνητές ασφαλείας Chetan Raghuprasad και Joey Chen έχουν σημειώσει ότι το CoralRaider επικεντρώνεται στην κλοπή των διαπιστευτηρίων των θυμάτων, των οικονομικών αρχείων και των προφίλ των μέσων κοινωνικής δικτύωσης, συμπεριλαμβανομένων των λογαριασμών επιχειρήσεων και διαφημίσεων. Αναπτύσσουν προσαρμοσμένες παραλλαγές του Quasar RAT που ονομάζονται RotBot και XClient stealer ως κύρια εργαλεία τους.

Εκτός από αυτά, η ομάδα χρησιμοποιεί διάφορα κακόβουλα προγράμματα όπως το AsyncRAT, το NetSupport RAT και το Rhadamanthys για απομακρυσμένη πρόσβαση και κλοπή δεδομένων. Ιδιαίτερα στο Βιετνάμ, έχουν δείξει ενδιαφέρον να πάρουν τον έλεγχο των επιχειρηματικών και διαφημιστικών λογαριασμών χρησιμοποιώντας οικογένειες κακόβουλου λογισμικού όπως το Ducktail, το NodeStealer και το VietCredCare.

Telegam που χρησιμοποιείται για τη διοχέτευση κλεμμένων δεδομένων

Οι κλεμμένες πληροφορίες μεταφέρονται μέσω Telegram και πωλούνται σε υπόγειες αγορές με σκοπό το κέρδος. Οι χειριστές του CoralRaider πιστεύεται ότι εδρεύουν στο Βιετνάμ, όπως φαίνεται από την επικοινωνία τους στα κανάλια Telegram και τη χρήση στοιχείων βιετναμέζικης γλώσσας στα εργαλεία τους.

Η επίθεσή τους συνήθως ξεκινά με ένα αρχείο συντόμευσης των Windows (LNK), αν και η μέθοδος διανομής παραμένει ασαφής. Με το άνοιγμα του αρχείου LNK, γίνεται λήψη μιας εφαρμογής HTML (HTA) από έναν διακομιστή που ελέγχεται από τον εισβολέα, ενεργοποιώντας ένα ενσωματωμένο σενάριο της Visual Basic. Αυτό το σενάριο αποκρυπτογραφεί και εκτελεί τρία σενάρια PowerShell διαδοχικά, υπεύθυνα για διάφορες τακτικές αποφυγής και την ανάπτυξη του RotBot.

Το RotBot, μόλις ενεργοποιηθεί, συνδέεται με ένα bot Telegram για να ανακτήσει και να εκτελέσει το XClient stealer στη μνήμη. Αυτό το κακόβουλο λογισμικό ειδικεύεται στη συλλογή cookie, διαπιστευτηρίων και οικονομικών δεδομένων από δημοφιλή προγράμματα περιήγησης ιστού όπως τα Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox και Opera, μαζί με δεδομένα από το Discord και το Telegram.

Επιπλέον, το XClient έχει σχεδιαστεί για να εξάγει πληροφορίες από λογαριασμούς μέσων κοινωνικής δικτύωσης θυμάτων όπως το Facebook, το Instagram, το TikTok και το YouTube, συμπεριλαμβανομένων λεπτομερειών που σχετίζονται με τρόπους πληρωμής και άδειες που σχετίζονται με επιχειρηματικούς και διαφημιστικούς λογαριασμούς Facebook.