Вредоносное ПО RotBot использовалось против азиатских жертв
Предполагаемый злоумышленник вьетнамского происхождения был замечен в атаке на людей в различных странах Азии и Юго-Восточной Азии с помощью вредоносного программного обеспечения, направленного на извлечение ценных данных, по крайней мере, с мая 2023 года. Эта группа, идентифицированная Cisco Talos как CoralRaider, похоже, руководствуется финансовыми мотивами. Их кампания охватывает Индию, Китай, Южную Корею, Бангладеш, Пакистан, Индонезию и Вьетнам.
Исследователи безопасности Четан Рагхупрасад и Джои Чен отметили, что CoralRaider концентрируется на краже учетных данных жертв, финансовых отчетов и профилей социальных сетей, включая деловые и рекламные аккаунты. В качестве основных инструментов они используют специальные варианты Quasar RAT под названием RotBot и XClient Stealer.
В дополнение к этому группа использует различные готовые вредоносные программы, такие как AsyncRAT, NetSupport RAT и Rhadamanthys, для удаленного доступа и кражи данных. В частности, во Вьетнаме они проявили интерес к захвату контроля над коммерческими и рекламными аккаунтами с помощью таких семейств вредоносных программ, как Ducktail, NodeStealer и VietCredCare.
Telegam использовалась для передачи украденных данных
Украденная информация передается через Telegram и продается на подпольных рынках с целью получения прибыли. Предполагается, что операторы CoralRaider базируются во Вьетнаме, о чем свидетельствует их общение в каналах Telegram и использование элементов вьетнамского языка в своих инструментах.
Их атака обычно начинается с файла ярлыка Windows (LNK), хотя метод распространения остается неясным. При открытии файла LNK с сервера, контролируемого злоумышленником, загружается HTML-приложение (HTA), запускающее встроенный сценарий Visual Basic. Этот скрипт расшифровывает и последовательно выполняет три скрипта PowerShell, отвечающие за различные тактики уклонения и развертывание RotBot.
RotBot после активации соединяется с ботом Telegram для извлечения и выполнения стилера XClient в памяти. Это вредоносное ПО специализируется на сборе файлов cookie, учетных данных и финансовых данных из популярных веб-браузеров, таких как Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera, а также данных из Discord и Telegram.
Более того, XClient предназначен для извлечения информации из учетных записей жертв в социальных сетях, таких как Facebook, Instagram, TikTok и YouTube, включая подробную информацию, связанную со способами оплаты и разрешениями, связанными с бизнес-аккаунтами и рекламными аккаунтами Facebook.