RotBot kenkėjiška programa, naudojama Azijos aukoms

Mažiausiai nuo 2023 m. gegužės mėn. buvo pastebėtas įtariamas vietnamiečių kilmės grėsmės veikėjas, nukreipęs į asmenis įvairiose Azijos ir Pietryčių Azijos šalyse, naudodamas kenkėjišką programinę įrangą, skirtą vertingiems duomenims išgauti. Cisco Talos įvardijo ją kaip CoralRaider, atrodo, kad ši grupė yra skatinama finansinių motyvų. Jų kampanija apima Indiją, Kiniją, Pietų Korėją, Bangladešą, Pakistaną, Indoneziją ir Vietnamą.

Saugumo tyrinėtojai Chetan Raghuprasad ir Joey Chen pažymėjo, kad CoralRaider daugiausia dėmesio skiria aukų kredencialų, finansinių įrašų ir socialinės žiniasklaidos profilių, įskaitant verslo ir reklamos paskyras, grobstymui. Kaip pagrindinius įrankius jie diegia pritaikytus Quasar RAT variantus, pavadintus RotBot ir XClient stealer.

Be šių, grupė naudoja įvairias kenkėjiškas programas, tokias kaip AsyncRAT, NetSupport RAT ir Rhadamanthys, skirtą nuotolinei prieigai ir duomenų vagystei. Ypač Vietname jie parodė susidomėjimą perimti verslo ir reklamos paskyrų kontrolę naudodami kenkėjiškų programų šeimas, tokias kaip „Ducktail“, „NodeStealer“ ir „VietCredCare“.

Telegam naudojamas pavogtiems duomenims perduoti

Pavogta informacija perduodama per „Telegram“ ir parduodama požeminėse rinkose siekiant pelno. Manoma, kad „CoralRaider“ operatoriai yra įsikūrę Vietname, tai matyti iš jų bendravimo „Telegram“ kanalais ir vietnamiečių kalbos elementų naudojimo įrankiuose.

Jų ataka paprastai prasideda Windows nuorodų rinkmena (LNK), nors platinimo būdas lieka neaiškus. Atidarius LNK failą, iš užpuoliko valdomo serverio atsisiunčiama HTML programa (HTA), suaktyvinanti įterptąjį Visual Basic scenarijų. Šis scenarijus iššifruoja ir paeiliui vykdo tris „PowerShell“ scenarijus, atsakingus už įvairias vengimo taktikas ir „RotBot“ diegimą.

Suaktyvintas „RotBot“ prisijungia prie „Telegram“ roboto, kad atmintyje nuskaitytų ir paleistų XClient stealer. Ši kenkėjiška programa specializuojasi renkant slapukus, kredencialus ir finansinius duomenis iš populiarių žiniatinklio naršyklių, tokių kaip „Brave“, „Cốc Cốc“, „Google Chrome“, „Microsoft Edge“, „Mozilla Firefox“ ir „Opera“, taip pat duomenis iš „Discord“ ir „Telegram“.

Be to, „XClient“ sukurta siekiant išgauti informaciją iš aukų socialinės žiniasklaidos paskyrų, tokių kaip „Facebook“, „Instagram“, „TikTok“ ir „YouTube“, įskaitant informaciją, susijusią su mokėjimo metodais ir leidimais, susijusiais su „Facebook“ verslo ir reklamos paskyromis.