RotBot 惡意軟體用於亞洲受害者

據觀察，至少自2023 年5 月起，就有一名來自越南的可疑威脅行為者針對亞洲和東南亞多個國家的個人使用惡意軟體，旨在提取有價值的數據。思科Talos 將該組織識別為CoralRaider ，該組織似乎是出於經濟動機。他們的活動遍及印度、中國、韓國、孟加拉、巴基斯坦、印尼和越南。

安全研究人員 Chetan Raghuprasad 和 Joey Chen 指出，CoralRaider 專注於竊取受害者的憑證、財務記錄和社交媒體資料，包括商業和廣告帳戶。他們部署了名為 RotBot 的 Quasar RAT 客製化變體和 XClient Stealer 作為主要工具。

除此之外，該組織還使用各種現成的惡意軟體（例如 AsyncRAT、NetSupport RAT 和 Rhadamanthys）進行遠端存取和資料竊取。特別是在越南，他們表現出了使用 Ducktail、NodeStealer 和 VietCredCare 等惡意軟體家族奪取商業和廣告帳戶控制權的興趣。

Telegam 用於收集被盜數據

被盜資訊透過 Telegram 傳輸並在地下市場出售以獲取利潤。 CoralRaider 的營運商據信位於越南，這從他們在 Telegram 頻道上的通訊以及在其工具中使用越南語元素即可看出。

他們的攻擊通常從 Windows 捷徑檔案 (LNK) 開始，儘管分發方法仍不清楚。開啟 LNK 檔案後，將從攻擊者控制的伺服器下載 HTML 應用程式 (HTA)，從而觸發嵌入的 Visual Basic 腳本。腳本連續解密並執行三個PowerShell腳本，負責各種規避策略和RotBot的部署。

RotBot 一旦激活，就會與 Telegram 機器人連接，在記憶體中擷取並執行 XClient 竊取程式。該惡意軟體專門從流行的網頁瀏覽器（例如 Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox 和 Opera）收集 cookie、憑證和財務數據，以及來自 Discord 和 Telegram 的數據。

此外，XClient 旨在從受害者的 Facebook、Instagram、TikTok 和 YouTube 等社交媒體帳戶中提取訊息，包括與付款方式以及與 Facebook 業務和廣告帳戶相關的權限相關的詳細資訊。