RotBot 恶意软件被用来攻击亚洲受害者

自 2023 年 5 月以来，一名疑似越南裔威胁行为者被发现使用恶意软件针对亚洲和东南亚各国的个人，旨在窃取有价值的数据。思科 Talos 将该组织确定为 CoralRaider，该组织似乎受到经济动机的驱动。他们的活动遍及印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南。

安全研究人员 Chetan Raghuprasad 和 Joey Chen 指出，CoralRaider 专注于窃取受害者的凭证、财务记录和社交媒体资料，包括商业和广告账户。他们部署了名为 RotBot 和 XClient stealer 的 Quasar RAT 定制变体作为主要工具。

除此之外，该组织还使用各种现成的恶意软件（如 AsyncRAT、NetSupport RAT 和 Rhadamanthys）进行远程访问和数据窃取。特别是在越南，他们表现出使用 Ducktail、NodeStealer 和 VietCredCare 等恶意软件系列来控制企业和广告账户的兴趣。

Telegam 用于收集被盗数据

被盗信息通过 Telegram 传输，并在地下市场出售以牟利。据信，CoralRaider 的运营者位于越南，这从他们在 Telegram 频道上的交流以及其工具中使用越南语元素可以看出。

他们的攻击通常从 Windows 快捷方式文件 (LNK) 开始，尽管传播方式尚不清楚。打开 LNK 文件后，会从攻击者控制的服务器下载 HTML 应用程序 (HTA)，从而触发嵌入的 Visual Basic 脚本。该脚本会解密并连续执行三个 PowerShell 脚本，负责各种规避策略和 RotBot 的部署。

RotBot 一旦被激活，就会与 Telegram 机器人连接，在内存中检索并执行 XClient 窃取程序。该恶意软件专门从流行的网络浏览器（例如 Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox 和 Opera）收集 cookie、凭证和财务数据，以及来自 Discord 和 Telegram 的数据。

此外，XClient 旨在从受害者的社交媒体帐户（如 Facebook、Instagram、TikTok 和 YouTube）中提取信息，包括与 Facebook 商业和广告帐户相关的支付方式和权限相关的详细信息。