Złośliwe oprogramowanie RotBot użyte na ofiarach z Azji
Zaobserwowano, że co najmniej od maja 2023 r. podejrzany podmiot zagrażający pochodzenia wietnamskiego atakuje osoby w różnych krajach Azji i Azji Południowo-Wschodniej za pomocą złośliwego oprogramowania mającego na celu wyodrębnienie cennych danych. Grupa ta, zidentyfikowana przez Cisco Talos jako CoralRaider, wydaje się kierować motywami finansowymi. Ich kampania obejmuje Indie, Chiny, Koreę Południową, Bangladesz, Pakistan, Indonezję i Wietnam.
Badacze bezpieczeństwa Chetan Raghuprasad i Joey Chen zauważyli, że CoralRaider koncentruje się na kradzieży danych uwierzytelniających ofiar, danych finansowych i profili w mediach społecznościowych, w tym kont biznesowych i reklamowych. Jako główne narzędzia wdrażają dostosowane warianty Quasar RAT o nazwie RotBot i XClient stealer.
Oprócz tego grupa wykorzystuje różne gotowe złośliwe oprogramowanie, takie jak AsyncRAT, NetSupport RAT i Rhadamanthys, do zdalnego dostępu i kradzieży danych. Szczególnie w Wietnamie wykazali zainteresowanie przejęciem kontroli nad kontami biznesowymi i reklamowymi przy użyciu rodzin szkodliwego oprogramowania, takich jak Ducktail, NodeStealer i VietCredCare.
Telegam używany do przesyłania skradzionych danych
Skradzione informacje są przesyłane za pośrednictwem Telegramu i sprzedawane na podziemnych rynkach z zyskiem. Uważa się, że operatorzy CoralRaider mają siedzibę w Wietnamie, co widać po ich komunikacji na kanałach Telegramu i wykorzystaniu elementów języka wietnamskiego w swoich narzędziach.
Ich atak zazwyczaj rozpoczyna się od pliku skrótu systemu Windows (LNK), chociaż metoda dystrybucji pozostaje niejasna. Po otwarciu pliku LNK z serwera kontrolowanego przez atakującego pobierana jest aplikacja HTML (HTA), która uruchamia osadzony skrypt Visual Basic. Skrypt ten odszyfrowuje i wykonuje kolejno trzy skrypty PowerShell, odpowiedzialne za różne taktyki unikania i wdrażanie RotBota.
Po aktywacji RotBot łączy się z botem Telegramu, aby odzyskać i wykonać złodzieja XClient w pamięci. To złośliwe oprogramowanie specjalizuje się w zbieraniu plików cookie, danych uwierzytelniających i danych finansowych z popularnych przeglądarek internetowych, takich jak Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox i Opera, a także danych z Discord i Telegram.
Co więcej, XClient ma na celu wyodrębnianie informacji z kont ofiar w mediach społecznościowych, takich jak Facebook, Instagram, TikTok i YouTube, w tym szczegółów związanych z metodami płatności i uprawnieniami powiązanymi z kontami biznesowymi i reklamowymi na Facebooku.