Malware RotBot usado em vítimas asiáticas
Um suspeito de ameaça de origem vietnamita foi observado visando indivíduos em vários países da Ásia e do Sudeste Asiático com software malicioso destinado a extrair dados valiosos desde pelo menos maio de 2023. Identificado pelo Cisco Talos como CoralRaider, este grupo parece ser motivado por motivos financeiros. A sua campanha abrange a Índia, China, Coreia do Sul, Bangladesh, Paquistão, Indonésia e Vietname.
Os pesquisadores de segurança Chetan Raghuprasad e Joey Chen observaram que o CoralRaider se concentra no roubo de credenciais, registros financeiros e perfis de mídia social das vítimas, incluindo contas comerciais e publicitárias. Eles implantam variantes personalizadas do Quasar RAT chamadas RotBot e XClient Stealer como suas ferramentas principais.
Além desses, o grupo emprega vários malwares disponíveis no mercado, como AsyncRAT, NetSupport RAT e Rhadamanthys para acesso remoto e roubo de dados. Particularmente no Vietnã, eles demonstraram interesse em assumir o controle de contas comerciais e de publicidade usando famílias de malware como Ducktail, NodeStealer e VietCredCare.
Telegam usado para canalizar dados roubados
As informações roubadas são transferidas através do Telegram e vendidas em mercados clandestinos com fins lucrativos. Acredita-se que os operadores do CoralRaider estejam baseados no Vietnã, o que é evidente pela sua comunicação nos canais do Telegram e pelo uso de elementos da língua vietnamita em suas ferramentas.
O ataque normalmente começa com um arquivo de atalho do Windows (LNK), embora o método de distribuição ainda não esteja claro. Ao abrir o arquivo LNK, um aplicativo HTML (HTA) é baixado de um servidor controlado pelo invasor, acionando um script Visual Basic incorporado. Este script descriptografa e executa três scripts PowerShell consecutivamente, responsáveis por diversas táticas de evasão e implantação do RotBot.
O RotBot, uma vez ativado, se conecta a um bot do Telegram para recuperar e executar o ladrão XClient na memória. Este malware é especializado na coleta de cookies, credenciais e dados financeiros de navegadores populares, como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera, juntamente com dados do Discord e Telegram.
Além disso, o XClient foi projetado para extrair informações das contas de mídia social das vítimas, como Facebook, Instagram, TikTok e YouTube, incluindo detalhes relacionados aos métodos de pagamento e permissões associadas às contas comerciais e de publicidade do Facebook.