Um ator de ameaças de origem vietnamita suspeito foi observado mirando vítimas em vários países asiáticos e do Sudeste Asiático com malware projetado para colher dados valiosos desde pelo menos maio de 2023.
A Cisco Talos está acompanhando o conjunto sob o nome de CoralRaider, descrevendo-o como financeiramente motivado.
Alvos da campanha incluem Índia, China, Coreia do Sul, Bangladesh, Paquistão, Indonésia e Vietnã.
"Este grupo concentra-se em roubar credenciais das vítimas, dados financeiros e contas de mídias sociais, incluindo contas comerciais e de publicidade", disseram os pesquisadores de segurança Chetan Raghuprasad e Joey Chen.
"Eles usam o RotBot, uma variante personalizada do Quasar RAT, e o XClient stealer como payloads." Outros malwares de comodidade usados pelo grupo compreendem uma combinação de trojans de acesso remoto e ladrões de informações como AsyncRAT, NetSupport RAT e Rhadamanthys.
O foco no direcionamento de contas comerciais e de publicidade tem sido de interesse particular para atacantes operando a partir do Vietnã, com várias famílias de stealer malware como Ducktail, NodeStealer e VietCredCare implantadas para assumir o controle das contas para monetização adicional.
O modus operandi envolve o uso do Telegram para exfiltrar as informações roubadas das máquinas das vítimas, que então são comercializadas em mercados clandestinos para gerar receitas ilícitas.
"Os operadores do CoralRaider estão baseados no Vietnã, baseando-se nas mensagens do ator em seus canais de bot C2 do Telegram e preferência de linguagem na nomeação de seus bots, strings PDB e outras palavras vietnamitas codificadas diretamente em seus binários de payload," disseram os pesquisadores.
As cadeias de ataque começam com um arquivo de atalho do Windows (LNK), embora atualmente não haja uma explicação clara de como esses arquivos são distribuídos para os alvos.
Caso o arquivo LNK seja aberto, um arquivo de aplicativo HTML (HTA) é baixado e executado de um servidor de download controlado pelo atacante, que, por sua vez, executa um script Visual Basic embutido.
O script, por sua parte, descriptografa e executa sequencialmente três outros scripts do PowerShell responsáveis por realizar verificações anti-VM e anti-análise, contornar o Controle de Acesso de Usuário do Windows (UAC), desativar notificações do Windows e de aplicativos, e baixar e executar o RotBot.
O RotBot é configurado para contatar um bot do Telegram e recuperar o malware XClient stealer e executá-lo na memória, facilitando em última análise o roubo de cookies, credenciais e informações financeiras de navegadores web como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera; dados do Discord e Telegram; e capturas de tela.
O XClient também é projetado para sifonar dados das contas do Facebook, Instagram, TikTok e YouTube das vítimas, coletando detalhes sobre os métodos de pagamento e permissões associadas às suas contas comerciais e de anúncios do Facebook.
"O RotBot é uma variante do cliente Quasar RAT que o ator de ameaças personalizou e compilou para esta campanha," disseram os pesquisadores.
"[O XClient] possui capacidade extensiva de roubo de informações por meio de seu módulo de plugin e vários módulos para realizar tarefas administrativas remotas."
O desenvolvimento surge enquanto a Bitdefender divulgou detalhes de uma campanha de malvertising no Facebook que está aproveitando o burburinho em torno das ferramentas de IA gerativas para promover uma variedade de ladrões de informações como Rilide, Vidar, IceRAT e um novo entrante conhecido como Nova Stealer.
O ponto de partida do ataque é o ator de ameaças assumindo o controle de uma conta existente do Facebook e modificando sua aparência para imitar ferramentas de IA bem conhecidas da Google, OpenAI e Midjourney, e expandindo seu alcance ao executar anúncios patrocinados na plataforma.
Uma dessas páginas impostoras se passando por Midjourney tinha 1,2 milhão de seguidores antes de ser derrubada em 8 de março de 2023.
Os atores de ameaças gerenciando a página eram principalmente do Vietnã, dos EUA, Indonésia, Reino Unido e Austrália, entre outros.
"As campanhas de malvertising têm um alcance tremendo por meio do sistema de anúncios patrocinados da Meta e têm mirado ativamente usuários europeus da Alemanha, Polônia, Itália, França, Bélgica, Espanha, Países Baixos, Romênia, Suécia e outros," disse a empresa de cibersegurança romena.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...