Malware RotBot utilizado en víctimas asiáticas
Se ha observado que un presunto actor de amenazas de origen vietnamita ataca a personas en varias naciones asiáticas y del sudeste asiático con software malicioso destinado a extraer datos valiosos desde al menos mayo de 2023. Identificado por Cisco Talos como CoralRaider, este grupo parece estar impulsado por motivos financieros. Su campaña se extiende por India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam.
Los investigadores de seguridad Chetan Raghuprasad y Joey Chen han observado que CoralRaider se concentra en robar las credenciales, registros financieros y perfiles de redes sociales de las víctimas, incluidas cuentas comerciales y publicitarias. Implementan variantes personalizadas de Quasar RAT llamadas RotBot y XClient Stealer como sus herramientas principales.
Además de estos, el grupo emplea varios programas maliciosos disponibles en el mercado, como AsyncRAT, NetSupport RAT y Rhadamanthys para acceso remoto y robo de datos. Particularmente en Vietnam, han mostrado interés en tomar el control de cuentas comerciales y publicitarias utilizando familias de malware como Ducktail, NodeStealer y VietCredCare.
Telegam utilizado para canalizar datos robados
La información robada se transfiere a través de Telegram y se vende en mercados clandestinos con fines de lucro. Se cree que los operadores de CoralRaider tienen su sede en Vietnam, lo que se desprende de su comunicación en los canales de Telegram y el uso de elementos del idioma vietnamita en sus herramientas.
Su ataque suele comenzar con un archivo de acceso directo de Windows (LNK), aunque el método de distribución sigue sin estar claro. Al abrir el archivo LNK, se descarga una aplicación HTML (HTA) desde un servidor controlado por el atacante, lo que activa un script de Visual Basic integrado. Este script descifra y ejecuta tres scripts de PowerShell de forma consecutiva, responsables de diversas tácticas de evasión y del despliegue de RotBot.
RotBot, una vez activado, se conecta con un bot de Telegram para recuperar y ejecutar el ladrón XClient en la memoria. Este malware se especializa en recopilar cookies, credenciales y datos financieros de navegadores web populares como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, junto con datos de Discord y Telegram.
Además, XClient está diseñado para extraer información de las cuentas de redes sociales de las víctimas como Facebook, Instagram, TikTok y YouTube, incluidos detalles relacionados con los métodos de pago y los permisos asociados con las cuentas comerciales y publicitarias de Facebook.