Malware RotBot utilizado en víctimas asiáticas

Se ha observado que un presunto actor de amenazas de origen vietnamita ataca a personas en varias naciones asiáticas y del sudeste asiático con software malicioso destinado a extraer datos valiosos desde al menos mayo de 2023. Identificado por Cisco Talos como CoralRaider, este grupo parece estar impulsado por motivos financieros. Su campaña se extiende por India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam.

Los investigadores de seguridad Chetan Raghuprasad y Joey Chen han observado que CoralRaider se concentra en robar las credenciales, registros financieros y perfiles de redes sociales de las víctimas, incluidas cuentas comerciales y publicitarias. Implementan variantes personalizadas de Quasar RAT llamadas RotBot y XClient Stealer como sus herramientas principales.

Además de estos, el grupo emplea varios programas maliciosos disponibles en el mercado, como AsyncRAT, NetSupport RAT y Rhadamanthys para acceso remoto y robo de datos. Particularmente en Vietnam, han mostrado interés en tomar el control de cuentas comerciales y publicitarias utilizando familias de malware como Ducktail, NodeStealer y VietCredCare.

Telegam utilizado para canalizar datos robados

La información robada se transfiere a través de Telegram y se vende en mercados clandestinos con fines de lucro. Se cree que los operadores de CoralRaider tienen su sede en Vietnam, lo que se desprende de su comunicación en los canales de Telegram y el uso de elementos del idioma vietnamita en sus herramientas.

Su ataque suele comenzar con un archivo de acceso directo de Windows (LNK), aunque el método de distribución sigue sin estar claro. Al abrir el archivo LNK, se descarga una aplicación HTML (HTA) desde un servidor controlado por el atacante, lo que activa un script de Visual Basic integrado. Este script descifra y ejecuta tres scripts de PowerShell de forma consecutiva, responsables de diversas tácticas de evasión y del despliegue de RotBot.

RotBot, una vez activado, se conecta con un bot de Telegram para recuperar y ejecutar el ladrón XClient en la memoria. Este malware se especializa en recopilar cookies, credenciales y datos financieros de navegadores web populares como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, junto con datos de Discord y Telegram.

Además, XClient está diseñado para extraer información de las cuentas de redes sociales de las víctimas como Facebook, Instagram, TikTok y YouTube, incluidos detalles relacionados con los métodos de pago y los permisos asociados con las cuentas comerciales y publicitarias de Facebook.

En Zaib
April 5, 2024
Computer Security
Spanish
April 5, 2024
Computer Security

Entradas populares

Aplicación Softcnapp potencialmente no deseada

Hace 2 months

¿Qué es Cdmx Ransomware?

Hace 3 months

Error: Estafa emergente Ox800VDS

Hace 11 days

Estafa de Venanco.com

Hace 15 days

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 8 months

Estafa Jegdex

Hace 22 days
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.