Một nhóm hacker đã dùng mã độc để đánh cắp dữ liệu giá trị từ các nạn nhân ở nhiều quốc gia Châu Á và Đông Nam Á. Nhóm này được cho là đến từ Việt Nam và đã hoạt động ít nhất từ tháng 5 năm 2023.
Cisco Talos đang theo dõi nhóm này dưới cái tên CoralRaider. Công ty bảo mật này đánh giá nhóm tin tặc có động cơ tài chính và đã tấn công các mục tiêu ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam.
"Nhóm này tập trung vào việc đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo," các nhà nghiên cứu bảo mật Chetan Raghuprasad và Joey Chen cho biết. "Chúng sử dụng RotBot, một biến thể tùy chỉnh của Quasar RAT, và XClient để thực hiện các cuộc tấn công."
Các phần mềm độc hại khác mà nhóm này sử dụng bao gồm sự kết hợp của các trojan truy cập từ xa và phần mềm đánh cắp thông tin như AsyncRAT, NetSupport RAT và Rhadamanthys.
Các tài khoản doanh nghiệp và quảng cáo là mục tiêu hàng đầu đối với các cuộc tấn công mạng xuất phát từ Việt Nam. Các mã độc đánh cắp thông tin như Ducktail, NodeStealer và VietCredCare đã được dùng để chiếm quyền kiểm soát các tài khoản nhằm mục đích kiếm tiền.
Phương thức hoạt động của nhóm này là sử dụng Telegram để đánh cắp thông tin từ máy tính nạn nhân, sau đó bán chúng trên thị trường chợ đen để tạo ra lợi nhuận bất chính.
"CoralRaider hoạt động tại Việt Nam. Phán đoán này đến từ các tin nhắn của nhóm này trong kênh Telegram C2 bot và ngôn ngữ ưa thích khi đặt tên cho bot, chuỗi PDB và các từ tiếng Việt được mã hóa cứng trong các tập tin mã độc của chúng," các nhà nghiên cứu cho biết.
Các tấn công bắt đầu bằng một shortcut (tập tin lối tắt) trên Windows (LNK). Hiện tại vẫn chưa có lời giải thích rõ ràng về cách thức các tập tin này được phân phối đến các mục tiêu.
Nếu tập tin LNK được mở, một tập tin ứng dụng HTML (HTA) sẽ được tải xuống và chạy từ máy chủ do kẻ tấn công kiểm soát. Tập tin HTA này sau đó sẽ chạy một đoạn mã Visual Basic được nhúng bên trong.
Đoạn mã này sẽ giải mã và lần lượt thực thi ba đoạn mã PowerShell khác có nhiệm vụ kiểm tra chống máy ảo và chống phân tích, vượt qua tính năng kiểm soát truy cập người dùng (UAC) của Windows, tắt thông báo của Windows và ứng dụng, đồng thời tải xuống và chạy RotBot.
RotBot được cấu hình để liên lạc với một bot Telegram và tải xuống mã độc trộm cắp thông tin XClient, sau đó thực thi nó trong bộ nhớ. Điều này cuối cùng cho phép nhóm tin tặc đánh cắp cookie, thông tin đăng nhập và thông tin tài chính từ các trình duyệt web (như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera), dữ liệu Discord và Telegram, cũng như ảnh chụp màn hình.
XClient cũng được thiết kế để đánh cắp dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Nó có thể thu thập thông tin về phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo và kinh doanh Facebook của họ.
"RotBot là một biến thể của Quasar RAT mà nhóm hacker đã tùy chỉnh cho chiến dịch này," các nhà nghiên cứu cho biết. "XClient có khả năng đánh cắp thông tin rộng rãi thông qua các plugin và mô đun khác nhau để thực hiện các tác vụ quản trị từ xa."
Thông tin về nhóm này đến trong bối cảnh Bitdefender từng khui bày một chiến dịch quảng cáo độc hại khác trên Facebook. Chiến dịch này lợi dụng sự quan tâm đến cá công cụ AI tạo sinh để phát tán một loạt phần mềm đánh cắp thông tin như Rilide, Vidar, IceRAT và một mã độc mới có tên là Nova Stealer.
Điểm khởi đầu của cuộc tấn công là việc tin tặc chiếm quyền kiểm soát một tài khoản Facebook. Sau đó chúng sửa đổi giao diện của nó để bắt chước các công cụ AI nổi tiếng từ Google, OpenAI và Midjourney và mở rộng phạm vi tiếp cận bằng cách chạy quảng cáo cho tài khoản đó.
Một trang giả mạo Midjourney như vậy đã có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào ngày 8 tháng 3 năm 2023. Những kẻ tấn công quản lý trang này chủ yếu đến từ Việt Nam, Mỹ, Indonesia, Vương quốc Anh, Úc, và nhiều nước khác.
"Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo của Meta. Chúng tích cực nhắm mục tiêu vào người dùng châu Âu từ Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và các nơi khác," theo thông tin từ Bitdefender.
Theo The Hacker News.
