RotBot Malware som används på asiatiska offer
En misstänkt hotaktör av vietnamesiskt ursprung har observerats rikta in sig på individer i olika asiatiska och sydostasiatiska länder med skadlig programvara som syftar till att extrahera värdefull data sedan åtminstone maj 2023. Identifierad av Cisco Talos som CoralRaider, verkar denna grupp drivas av ekonomiska motiv. Deras kampanj sträcker sig över Indien, Kina, Sydkorea, Bangladesh, Pakistan, Indonesien och Vietnam.
Säkerhetsforskare Chetan Raghuprasad och Joey Chen har noterat att CoralRaider koncentrerar sig på att stjäla offrens referenser, ekonomiska register och sociala medieprofiler, inklusive affärs- och reklamkonton. De distribuerar skräddarsydda varianter av Quasar RAT som heter RotBot och XClient stealer som sina primära verktyg.
Utöver dessa använder gruppen olika skadlig programvara som AsyncRAT, NetSupport RAT och Rhadamanthys för fjärråtkomst och datastöld. Särskilt i Vietnam har de visat intresse för att ta kontroll över affärs- och reklamkonton med hjälp av skadlig programvara som Ducktail, NodeStealer och VietCredCare.
Telegam används för att kanalisera stulna data
Den stulna informationen överförs via Telegram och säljs på underjordiska marknader i vinstsyfte. CoralRaiders operatörer tros vara baserade i Vietnam, vilket framgår av deras kommunikation på Telegram-kanaler och användningen av vietnamesiska språkelement i deras verktyg.
Deras attack börjar vanligtvis med en Windows-genvägsfil (LNK), även om distributionsmetoden fortfarande är oklar. När LNK-filen öppnas laddas en HTML-applikation (HTA) ner från en server som kontrolleras av angriparen, vilket utlöser ett inbäddat Visual Basic-skript. Detta skript dekrypterar och exekverar tre PowerShell-skript i följd, ansvariga för olika undanflyktstaktik och distributionen av RotBot.
RotBot, när den har aktiverats, ansluter till en Telegram-bot för att hämta och köra XClient-stealer i minnet. Denna skadliga programvara är specialiserad på att samla in cookies, referenser och finansiell data från populära webbläsare som Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox och Opera, tillsammans med data från Discord och Telegram.
Dessutom är XClient utformad för att extrahera information från offrens sociala mediekonton som Facebook, Instagram, TikTok och YouTube, inklusive detaljer relaterade till betalningsmetoder och behörigheter kopplade till Facebooks affärs- och reklamkonton.