RotBot skadelig programvare brukt på asiatiske ofre
En mistenkt trusselaktør av vietnamesisk opprinnelse har blitt observert målrettet mot individer i ulike asiatiske og sørøstasiatiske nasjoner med ondsinnet programvare rettet mot å trekke ut verdifulle data siden minst mai 2023. Identifisert av Cisco Talos som CoralRaider, ser denne gruppen ut til å være drevet av økonomiske motiver. Kampanjen deres spenner over India, Kina, Sør-Korea, Bangladesh, Pakistan, Indonesia og Vietnam.
Sikkerhetsforskere Chetan Raghuprasad og Joey Chen har bemerket at CoralRaider konsentrerer seg om å stjele ofrenes legitimasjon, økonomiske poster og profiler på sosiale medier, inkludert forretnings- og reklamekontoer. De distribuerer tilpassede varianter av Quasar RAT kalt RotBot og XClient stealer som deres primære verktøy.
I tillegg til disse, bruker gruppen ulike off-the-sokkel malware som AsyncRAT, NetSupport RAT og Rhadamanthys for ekstern tilgang og datatyveri. Spesielt i Vietnam har de vist interesse for å ta kontroll over forretnings- og reklamekontoer ved å bruke skadevarefamilier som Ducktail, NodeStealer og VietCredCare.
Telegam pleide å traktere stjålne data
Den stjålne informasjonen overføres gjennom Telegram og selges i underjordiske markeder for profitt. CoralRaiders operatører antas å være basert i Vietnam, tydelig fra deres kommunikasjon på Telegram-kanaler og bruken av vietnamesiske språkelementer i verktøyene deres.
Angrepet deres begynner vanligvis med en Windows-snarveisfil (LNK), selv om distribusjonsmetoden fortsatt er uklar. Når LNK-filen åpnes, lastes en HTML-applikasjon (HTA) ned fra en server kontrollert av angriperen, og utløser et innebygd Visual Basic-skript. Dette skriptet dekrypterer og kjører tre PowerShell-skript etter hverandre, ansvarlig for ulike unnvikelsestaktikker og distribusjon av RotBot.
RotBot, når den er aktivert, kobles til en Telegram-bot for å hente og kjøre XClient-tyveren i minnet. Denne skadevare spesialiserer seg på å hente informasjonskapsler, legitimasjon og økonomiske data fra populære nettlesere som Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox og Opera, sammen med data fra Discord og Telegram.
Dessuten er XClient designet for å trekke ut informasjon fra ofrenes sosiale mediekontoer som Facebook, Instagram, TikTok og YouTube, inkludert detaljer knyttet til betalingsmetoder og tillatelser knyttet til Facebooks forretnings- og reklamekontoer.