Logiciel malveillant RotBot utilisé sur des victimes asiatiques
Un acteur malveillant présumé d'origine vietnamienne a été observé ciblant des individus dans divers pays d'Asie et d'Asie du Sud-Est avec des logiciels malveillants visant à extraire des données précieuses depuis au moins mai 2023. Identifié par Cisco Talos sous le nom de CoralRaider, ce groupe semble être motivé par des motivations financières. Leur campagne s'étend sur l'Inde, la Chine, la Corée du Sud, le Bangladesh, le Pakistan, l'Indonésie et le Vietnam.
Les chercheurs en sécurité Chetan Raghuprasad et Joey Chen ont noté que CoralRaider se concentre sur le vol des informations d'identification, des dossiers financiers et des profils de réseaux sociaux des victimes, y compris les comptes professionnels et publicitaires. Ils déploient des variantes personnalisées de Quasar RAT nommées RotBot et XClient Steer comme leurs principaux outils.
En plus de cela, le groupe utilise divers logiciels malveillants disponibles dans le commerce tels que AsyncRAT, NetSupport RAT et Rhadamanthys pour l'accès à distance et le vol de données. Au Vietnam en particulier, ils ont manifesté leur intérêt pour prendre le contrôle de comptes commerciaux et publicitaires en utilisant des familles de logiciels malveillants comme Ducktail, NodeStealer et VietCredCare.
Telegam utilisé pour canaliser les données volées
Les informations volées sont transférées via Telegram et vendues sur des marchés clandestins à des fins lucratives. Les opérateurs de CoralRaider seraient basés au Vietnam, comme en témoignent leurs communications sur les chaînes Telegram et l'utilisation d'éléments de langue vietnamienne dans leurs outils.
Leur attaque commence généralement par un fichier de raccourci Windows (LNK), bien que la méthode de distribution reste floue. Lors de l'ouverture du fichier LNK, une application HTML (HTA) est téléchargée depuis un serveur contrôlé par l'attaquant, déclenchant un script Visual Basic intégré. Ce script décrypte et exécute trois scripts PowerShell consécutivement, responsables de diverses tactiques d'évasion et du déploiement de RotBot.
RotBot, une fois activé, se connecte à un bot Telegram pour récupérer et exécuter le voleur XClient en mémoire. Ce malware est spécialisé dans la collecte de cookies, d'informations d'identification et de données financières à partir de navigateurs Web populaires tels que Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera, ainsi que des données de Discord et Telegram.
De plus, XClient est conçu pour extraire des informations des comptes de réseaux sociaux des victimes comme Facebook, Instagram, TikTok et YouTube, y compris des détails relatifs aux méthodes de paiement et aux autorisations associées aux comptes professionnels et publicitaires de Facebook.