Vietnami hackerek Ázsia-szerte pénzügyi adatokat vesznek célba

Yanac April 4, 2024April 4, 2024 Adatlopás, CoralRaider, Pénzügyi szektor, RotBot, Vietnám, XClient stealer

Egy vietnami hackercsoport, amelyet CoralRaider néven azonosítottak, 2023 májusa óta több ázsiai országot is célba vett, és rosszindulatú szoftverekkel pénzügyi és személyes adatokat lopott. Ez a kampány kifinomult technikákat és rosszindulatú szoftvereket alkalmaz az adatok kiszivárgására, hangsúlyt fektetve a hitelesítő adatok és pénzügyi információk ellopására különböző online platformokról.

A CoralRaider néven nyomon követett, vietnami származásúnak feltételezett kiberfenyegető aktívan támad több ázsiai és délkelet-ázsiai országot, köztük Indiát, Kínát, Dél-Koreát, Bangladesh-t, Pakisztánt, Indonéziát és Vietnamot. A csoport elsődleges célja az áldozatok érzékeny adatainak begyűjtése, különösen a hitelesítő adatok, pénzügyi információk és közösségi média fiókok, valamint az üzleti és hirdetési fiókok bejelentkezési adatai. A fenyegető szereplő számos rosszindulatú eszközt használ, mint például a RotBot – a Quasar RAT testreszabott változata – és az XClient stealer, valamint más árukereső malware-eket, mint az AsyncRAT, a NetSupport RAT és a Rhadamanthys a támadások végrehajtásához. Az ellopott adatokat a Telegram segítségével exfiltrálják, majd az illegális piacokon nyereségért értékesítik, a működési taktikák pedig arra utalnak, hogy a csoport bázisa Vietnamban van.

A CoralRaider támadási módszertana egy Windows parancsikonfájlon (LNK) keresztül történő kezdeti kompromittálást foglal magában, amely aktiválásakor egy HTML-alkalmazás (HTA) fájl letöltéséhez és végrehajtásához vezet egy támadó által ellenőrzött szerverről. Ez a HTA fájl egy Visual Basic szkriptet futtat, amely számos rosszindulatú tevékenységet végez, beleértve a biztonsági intézkedések letiltását, valamint további hasznos terhek, például a RotBot és az XClient letöltését és végrehajtását. Ezeket a hasznos terheket úgy tervezték, hogy információk széles skáláját lopják el, beleértve a böngésző cookie-kat, hitelesítő adatokat, pénzügyi adatokat, valamint a közösségi médiaplatformok és kommunikációs eszközök adatait. Eközben a Bitdefender felfedezett egy rosszindulatú reklámkampányt, amely a generatív AI-eszközök népszerűségét használja ki az információlopó programok terjesztésére, ami a kiberbűnözői tevékenységek szélesebb körű trendjét jelzi, amely a közösségi médiát és a fejlett technológiákat használja ki a kiberlopás és a csalás megkönnyítésére, és amely jelentős hatókörrel és hatással bír Európában és Ázsiában.

(forrás)