Ázsiai áldozatokon használt RotBot kártevő

Legalább 2023 májusa óta megfigyeltek egy vietnami származású feltételezett fenyegetést, aki különböző ázsiai és délkelet-ázsiai országokban támadt meg egyéneket olyan rosszindulatú szoftverekkel, amelyek célja értékes adatok kinyerése. A Cisco Talos által CoralRaiderként azonosított csoportot úgy tűnik, hogy pénzügyi indítékok vezérlik. Kampányuk Indiára, Kínára, Dél-Koreára, Bangladesre, Pakisztánra, Indonéziára és Vietnamra terjed ki.

Chetan Raghuprasad és Joey Chen biztonsági kutatók megjegyezték, hogy a CoralRaider az áldozatok hitelesítő adatainak, pénzügyi nyilvántartásainak és közösségi médiaprofiljainak eltulajdonítására összpontosít, beleértve az üzleti és hirdetési fiókokat is. Elsődleges eszközként a Quasar RAT testreszabott változatait, RotBot és XClient stealer alkalmazását használják.

Ezeken kívül a csoport különféle, készen kapható kártevőket alkalmaz, mint például az AsyncRAT, a NetSupport RAT és a Rhadamanthys távoli eléréshez és adatlopáshoz. Különösen Vietnamban mutattak érdeklődést az üzleti és hirdetési fiókok ellenőrzése iránt, olyan rosszindulatú programcsaládokkal, mint a Ducktail, a NodeStealer és a VietCredCare.

A Telegam az ellopott adatok csatornázására szolgál

Az ellopott információkat a Telegramon keresztül továbbítják, és földalatti piacokon haszonszerzés céljából értékesítik. A CoralRaider üzemeltetői a feltételezések szerint vietnami székhellyel rendelkeznek, ami nyilvánvaló a Telegram csatornákon folytatott kommunikációjukból és a vietnami nyelvi elemek használatából az eszközeikben.

Támadásuk általában egy Windows parancsikonfájllal (LNK) kezdődik, bár a terjesztés módja továbbra is tisztázatlan. Az LNK-fájl megnyitásakor egy HTML-alkalmazás (HTA) töltődik le a támadó által vezérelt szerverről, és egy beágyazott Visual Basic-szkriptet indít el. Ez a szkript három PowerShell-szkriptet dekódol és hajt végre egymás után, amelyek felelősek a különféle kijátszási taktikákért és a RotBot telepítéséért.

A RotBot aktiválása után csatlakozik egy Telegram bothoz, hogy lekérje és végrehajtsa az XClient lopót a memóriában. Ez a rosszindulatú program arra specializálódott, hogy cookie-kat, hitelesítő adatokat és pénzügyi adatokat gyűjtsön be olyan népszerű webböngészőkből, mint a Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox és Opera, valamint a Discord és a Telegram adatait.

Ezenkívül az XClient célja, hogy információkat nyerjen ki az áldozatok közösségimédia-fiókjaiból, például a Facebookból, az Instagramból, a TikTok-ból és a YouTube-ból, beleértve a fizetési módokkal kapcsolatos részleteket és a Facebook üzleti és hirdetési fiókjaihoz kapcsolódó engedélyeket.