Malware RotBot utilizzato sulle vittime asiatiche
È stato osservato che un presunto autore di minacce di origine vietnamita prende di mira individui in varie nazioni asiatiche e del sud-est asiatico con software dannoso volto a estrarre dati preziosi almeno dal maggio 2023. Identificato da Cisco Talos come CoralRaider, questo gruppo sembra essere guidato da motivi finanziari. La loro campagna si estende in India, Cina, Corea del Sud, Bangladesh, Pakistan, Indonesia e Vietnam.
I ricercatori di sicurezza Chetan Raghuprasad e Joey Chen hanno notato che CoralRaider si concentra sul furto di credenziali, documenti finanziari e profili di social media delle vittime, inclusi account aziendali e pubblicitari. Distribuiscono varianti personalizzate di Quasar RAT denominate RotBot e XClient stealer come strumenti principali.
Oltre a questi, il gruppo utilizza vari malware standard come AsyncRAT, NetSupport RAT e Rhadamanthys per l'accesso remoto e il furto di dati. Soprattutto in Vietnam, hanno mostrato interesse nel prendere il controllo degli account aziendali e pubblicitari utilizzando famiglie di malware come Ducktail, NodeStealer e VietCredCare.
Telegam utilizzato per incanalare dati rubati
Le informazioni rubate vengono trasferite tramite Telegram e vendute nei mercati sotterranei a scopo di lucro. Si ritiene che gli operatori di CoralRaider abbiano sede in Vietnam, come risulta evidente dalla loro comunicazione sui canali Telegram e dall'uso di elementi della lingua vietnamita nei loro strumenti.
Il loro attacco inizia solitamente con un file di collegamento di Windows (LNK), anche se il metodo di distribuzione rimane poco chiaro. All'apertura del file LNK, un'applicazione HTML (HTA) viene scaricata da un server controllato dall'aggressore, attivando uno script Visual Basic incorporato. Questo script decodifica ed esegue tre script PowerShell consecutivamente, responsabili di varie tattiche di evasione e dell'implementazione di RotBot.
RotBot, una volta attivato, si connette con un bot di Telegram per recuperare ed eseguire lo stealer XClient in memoria. Questo malware è specializzato nella raccolta di cookie, credenziali e dati finanziari dai browser Web più diffusi come Brave, Google Chrome, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, insieme ai dati di Discord e Telegram.
Inoltre, XClient è progettato per estrarre informazioni dagli account dei social media delle vittime come Facebook, Instagram, TikTok e YouTube, inclusi i dettagli relativi ai metodi di pagamento e alle autorizzazioni associati agli account aziendali e pubblicitari di Facebook.
