Malware RotBot usado em vítimas asiáticas

Um suspeito de ameaça de origem vietnamita foi observado visando indivíduos em vários países da Ásia e do Sudeste Asiático com software malicioso destinado a extrair dados valiosos desde pelo menos maio de 2023. Identificado pelo Cisco Talos como CoralRaider, este grupo parece ser motivado por motivos financeiros. A sua campanha abrange a Índia, China, Coreia do Sul, Bangladesh, Paquistão, Indonésia e Vietname.

Os pesquisadores de segurança Chetan Raghuprasad e Joey Chen observaram que o CoralRaider se concentra no roubo de credenciais, registros financeiros e perfis de mídia social das vítimas, incluindo contas comerciais e publicitárias. Eles implantam variantes personalizadas do Quasar RAT chamadas RotBot e XClient Stealer como suas ferramentas principais.

Além desses, o grupo emprega vários malwares disponíveis no mercado, como AsyncRAT, NetSupport RAT e Rhadamanthys para acesso remoto e roubo de dados. Particularmente no Vietnã, eles demonstraram interesse em assumir o controle de contas comerciais e de publicidade usando famílias de malware como Ducktail, NodeStealer e VietCredCare.

Telegam usado para canalizar dados roubados

As informações roubadas são transferidas através do Telegram e vendidas em mercados clandestinos com fins lucrativos. Acredita-se que os operadores do CoralRaider estejam baseados no Vietnã, o que é evidente pela sua comunicação nos canais do Telegram e pelo uso de elementos da língua vietnamita em suas ferramentas.

O ataque normalmente começa com um arquivo de atalho do Windows (LNK), embora o método de distribuição ainda não esteja claro. Ao abrir o arquivo LNK, um aplicativo HTML (HTA) é baixado de um servidor controlado pelo invasor, acionando um script Visual Basic incorporado. Este script descriptografa e executa três scripts PowerShell consecutivamente, responsáveis por diversas táticas de evasão e implantação do RotBot.

O RotBot, uma vez ativado, se conecta a um bot do Telegram para recuperar e executar o ladrão XClient na memória. Este malware é especializado na coleta de cookies, credenciais e dados financeiros de navegadores populares, como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, juntamente com dados do Discord e Telegram.

Além disso, o XClient foi projetado para extrair informações das contas de mídia social das vítimas, como Facebook, Instagram, TikTok e YouTube, incluindo detalhes relacionados aos métodos de pagamento e permissões associadas às contas comerciais e de publicidade do Facebook.

Por Zaib
April 5, 2024
Computer Security
Portuguese
April 5, 2024
Computer Security

Postagens Populares

Aplicativo potencialmente indesejado do Softcnapp

2 months atrás

O que é CDMX Ransomware?

3 months atrás

Erro: golpe pop-up Ox800VDS

11 days atrás

Esquema de Venanco.com

15 days atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

8 months atrás

Golpe Jegdex

22 days atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.