Vietnami hackerek Ázsia-szerte pénzügyi adatokat vesznek célba
Egy vietnami hackercsoport, amelyet CoralRaider néven azonosítottak, 2023 májusa óta több ázsiai országot is célba vett, és rosszindulatú szoftverekkel pénzügyi és személyes adatokat lopott. Ez a kampány kifinomult technikákat és rosszindulatú szoftvereket alkalmaz az adatok kiszivárgására, hangsúlyt fektetve a hitelesítő adatok és pénzügyi információk ellopására különböző online platformokról.
A CoralRaider néven nyomon követett, vietnami származásúnak feltételezett kiberfenyegető aktívan támad több ázsiai és délkelet-ázsiai országot, köztük Indiát, Kínát, Dél-Koreát, Bangladesh-t, Pakisztánt, Indonéziát és Vietnamot. A csoport elsődleges célja az áldozatok érzékeny adatainak begyűjtése, különösen a hitelesítő adatok, pénzügyi információk és közösségi média fiókok, valamint az üzleti és hirdetési fiókok bejelentkezési adatai. A fenyegető szereplő számos rosszindulatú eszközt használ, mint például a RotBot – a Quasar RAT testreszabott változata – és az XClient stealer, valamint más árukereső malware-eket, mint az AsyncRAT, a NetSupport RAT és a Rhadamanthys a támadások végrehajtásához. Az ellopott adatokat a Telegram segítségével exfiltrálják, majd az illegális piacokon nyereségért értékesítik, a működési taktikák pedig arra utalnak, hogy a csoport bázisa Vietnamban van.
A CoralRaider támadási módszertana egy Windows parancsikonfájlon (LNK) keresztül történő kezdeti kompromittálást foglal magában, amely aktiválásakor egy HTML-alkalmazás (HTA) fájl letöltéséhez és végrehajtásához vezet egy támadó által ellenőrzött szerverről. Ez a HTA fájl egy Visual Basic szkriptet futtat, amely számos rosszindulatú tevékenységet végez, beleértve a biztonsági intézkedések letiltását, valamint további hasznos terhek, például a RotBot és az XClient letöltését és végrehajtását. Ezeket a hasznos terheket úgy tervezték, hogy információk széles skáláját lopják el, beleértve a böngésző cookie-kat, hitelesítő adatokat, pénzügyi adatokat, valamint a közösségi médiaplatformok és kommunikációs eszközök adatait. Eközben a Bitdefender felfedezett egy rosszindulatú reklámkampányt, amely a generatív AI-eszközök népszerűségét használja ki az információlopó programok terjesztésére, ami a kiberbűnözői tevékenységek szélesebb körű trendjét jelzi, amely a közösségi médiát és a fejlett technológiákat használja ki a kiberlopás és a csalás megkönnyítésére, és amely jelentős hatókörrel és hatással bír Európában és Ázsiában.
(forrás)
