Logiciel malveillant RotBot utilisé sur des victimes asiatiques

Un acteur malveillant présumé d'origine vietnamienne a été observé ciblant des individus dans divers pays d'Asie et d'Asie du Sud-Est avec des logiciels malveillants visant à extraire des données précieuses depuis au moins mai 2023. Identifié par Cisco Talos sous le nom de CoralRaider, ce groupe semble être motivé par des motivations financières. Leur campagne s'étend sur l'Inde, la Chine, la Corée du Sud, le Bangladesh, le Pakistan, l'Indonésie et le Vietnam.

Les chercheurs en sécurité Chetan Raghuprasad et Joey Chen ont noté que CoralRaider se concentre sur le vol des informations d'identification, des dossiers financiers et des profils de réseaux sociaux des victimes, y compris les comptes professionnels et publicitaires. Ils déploient des variantes personnalisées de Quasar RAT nommées RotBot et XClient Steer comme leurs principaux outils.

En plus de cela, le groupe utilise divers logiciels malveillants disponibles dans le commerce tels que AsyncRAT, NetSupport RAT et Rhadamanthys pour l'accès à distance et le vol de données. Au Vietnam en particulier, ils ont manifesté leur intérêt pour prendre le contrôle de comptes commerciaux et publicitaires en utilisant des familles de logiciels malveillants comme Ducktail, NodeStealer et VietCredCare.

Telegam utilisé pour canaliser les données volées

Les informations volées sont transférées via Telegram et vendues sur des marchés clandestins à des fins lucratives. Les opérateurs de CoralRaider seraient basés au Vietnam, comme en témoignent leurs communications sur les chaînes Telegram et l'utilisation d'éléments de langue vietnamienne dans leurs outils.

Leur attaque commence généralement par un fichier de raccourci Windows (LNK), bien que la méthode de distribution reste floue. Lors de l'ouverture du fichier LNK, une application HTML (HTA) est téléchargée depuis un serveur contrôlé par l'attaquant, déclenchant un script Visual Basic intégré. Ce script décrypte et exécute trois scripts PowerShell consécutivement, responsables de diverses tactiques d'évasion et du déploiement de RotBot.

RotBot, une fois activé, se connecte à un bot Telegram pour récupérer et exécuter le voleur XClient en mémoire. Ce malware est spécialisé dans la collecte de cookies, d'informations d'identification et de données financières à partir de navigateurs Web populaires tels que Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera, ainsi que des données de Discord et Telegram.

De plus, XClient est conçu pour extraire des informations des comptes de réseaux sociaux des victimes comme Facebook, Instagram, TikTok et YouTube, y compris des détails relatifs aux méthodes de paiement et aux autorisations associées aux comptes professionnels et publicitaires de Facebook.

Par Zaib
April 5, 2024
Computer Security
Français
April 5, 2024
Computer Security

Articles Populaires

Softcnapp Application potentiellement indésirable

Il y a 2 months

Qu’est-ce que Cdmx Ransomware ?

Il y a 3 months

Erreur : arnaque contextuelle Ox800VDS

Il y a 11 days

Arnaque Venanco.com

Il y a 15 days

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 8 months

Arnaque Jegdex

Il y a 22 days
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.