Logiciel malveillant RotBot
Un groupe apparemment originaire du Vietnam a été identifié comme ciblant des individus dans divers pays d'Asie et d'Asie du Sud-Est avec des logiciels menaçants visant à extraire des informations précieuses depuis au moins mai 2023. Connu sous le nom de CoralRaider, les experts en cybersécurité surveillent de près cette opération, notant ses motivations financières. Les points focaux de la campagne sont l'Inde, la Chine, la Corée du Sud, le Bangladesh, le Pakistan, l'Indonésie et le Vietnam.
Ce syndicat de cybercriminels est spécialisé dans le vol d'informations d'identification, de dossiers financiers et de profils de réseaux sociaux, englobant à la fois des comptes personnels et professionnels. Leur arsenal pour cette attaque particulière comprend RotBot, une version personnalisée de Quasar RAT et le voleur XClient. De plus, ils déploient une gamme de logiciels malveillants prêts à l'emploi, tels que AsyncRAT , NetSupport RAT et Rhadamanthys , visant à obtenir un accès à distance et à siphonner les informations des systèmes compromis.
Table des matières
Les cybercriminels visent à compromettre les informations sensibles provenant de cibles sélectionnées
Les attaquants originaires du Vietnam ont mis l'accent sur l'infiltration de comptes professionnels et publicitaires, en utilisant diverses familles de logiciels malveillants tels que Ducktail , NodeStealer et VietCredCare pour prendre le contrôle de ces comptes en vue d'une monétisation ultérieure.
Leur mode opératoire implique l'utilisation de Telegram pour transmettre les informations volées depuis les machines des victimes, qui sont ensuite échangées sur des marchés clandestins pour générer des profits illégaux.
Les preuves suggèrent que les opérateurs de CoralRaider sont situés au Vietnam, comme l'indiquent les messages des acteurs dans leurs canaux de robots Telegram Command and Control (C2), ainsi que leur préférence pour la langue vietnamienne pour nommer leurs robots, les chaînes PDB et d'autres termes vietnamiens codés en dur dans leurs binaires de charge utile.
Une chaîne d’infection en plusieurs étapes constitue la menace des logiciels malveillants RotBot
La séquence d'attaque démarre avec un fichier de raccourci Windows (LNK), bien que la méthode de distribution aux cibles reste floue. Lors de l'ouverture du fichier LNK, un fichier d'application HTML (HTA) est téléchargé et exécuté à partir d'un serveur contrôlé par l'attaquant, exécutant ensuite un script Visual Basic intégré.
Ce script, à son tour, déchiffre et exécute séquentiellement trois scripts PowerShell supplémentaires chargés d'effectuer des contrôles anti-VM et anti-analyse, de contourner le contrôle d'accès utilisateur (UAC) de Windows, de désactiver les notifications de Windows et des applications, ainsi que de télécharger et d'exécuter RotBot.
RotBot est configuré pour communiquer avec un bot Telegram, récupérant et exécutant le malware voleur XClient en mémoire. Cela facilite le vol de cookies, d'informations d'identification et d'informations financières à partir de navigateurs Web tels que Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera, ainsi que des données Discord et Telegram et capture des captures d'écran.
De plus, XClient est conçu pour extraire des données des comptes Facebook, Instagram, TikTok et YouTube des victimes, obtenant ainsi des informations sur les méthodes de paiement et les autorisations associées à leurs comptes professionnels et publicitaires Facebook.
RotBot, une variante personnalisée du client Quasar RAT, a été conçu et compilé spécifiquement pour cette campagne par l'acteur malveillant. De plus, XClient dispose de capacités étendues de vol d'informations grâce à son module plugin et de diverses fonctionnalités pour exécuter des tâches administratives à distance.
Les infostealers restent une menace considérable ciblant de nombreux secteurs
Une campagne de publicité malveillante sur Facebook exploite le battage médiatique autour des outils d'IA générative pour promouvoir divers voleurs d'informations comme Rilide, Vidar, IceRAT et une nouvelle menace appelée Nova Stealer.
L'attaque commence lorsque l'acteur malveillant prend le contrôle d'un compte Facebook existant et modifie son apparence pour ressembler aux outils d'IA populaires de Google, OpenAI et Midjourney. Ils étendent leur influence en diffusant des publicités sponsorisées sur la plateforme.
Par exemple, une page contrefaite se faisant passer pour Midjourney a rassemblé 1,2 million d'abonnés avant d'être fermée le 8 mars 2023. Les individus derrière ces pages se trouvaient principalement au Vietnam, aux États-Unis, en Indonésie, au Royaume-Uni et en Australie, entre autres pays.
Ces campagnes de publicité malveillante exploitent le système de publicité sponsorisée de Meta pour atteindre une portée étendue, ciblant activement les utilisateurs européens dans des pays tels que l'Allemagne, la Pologne, l'Italie, la France, la Belgique, l'Espagne, les Pays-Bas, la Roumanie, la Suède et au-delà.
