هاكر فيتنامي متهم بالتخطيط لاضطرابات في آسيا

[إعلان 1]

تم نشر المعلومات المذكورة أعلاه بواسطة The Hacker News ، نقلاً عن بيان من مجموعة أبحاث الأمن Cisco Talos، وهي جزء من شركة Cisco Corporation (الولايات المتحدة الأمريكية).

كشف فريق الأمن في شركة Cisco Talos: "لقد اكتشفنا برنامجًا خبيثًا مصممًا لجمع البيانات المالية في الهند والصين وكوريا الجنوبية وبنغلاديش وباكستان وإندونيسيا وفيتنام منذ مايو 2023".

وركزت حملة الهجوم التي شنتها مجموعة القراصنة المسماة CoralRaider على "بيانات اعتماد الضحايا وبياناتهم المالية وحساباتهم على وسائل التواصل الاجتماعي، بما في ذلك حسابات الأعمال والإعلان".

تصف شركة Cisco Talos القراصنة باستخدام RotBot، وهو نوع مخصص من Quasar RAT وXClient، لتنفيذ الهجمات. كما أنهم يستخدمون مجموعة متنوعة من الأدوات، بما في ذلك أحصنة طروادة للوصول عن بعد وغيرها من البرامج الضارة مثل AsyncRAT، وNetSupport RAT، وRhadamanthys. بالإضافة إلى ذلك، يستخدم المتسللون أيضًا العديد من برامج سرقة البيانات المتخصصة مثل Ducktail وNodeStealer وVietCredCare.

تم جمع المعلومات المسروقة عبر تطبيق Telegram، والتي قام القراصنة بعد ذلك بتداولها في السوق السوداء لتحقيق أرباح غير مشروعة.

بناءً على الرسائل في قنوات دردشة تيليجرام، وتفضيلات اللغة، وتسمية الروبوتات، تحتوي سلسلة مصحح الأخطاء (PDB) على كلمات رئيسية فيتنامية مُبرمجة مسبقًا. من المحتمل أن يكون المخترقون الذين يستغلون CoralRaider من فيتنام - علق Cisco Talos.

Tin tặc có nguồn gốc từ Việt Nam bị tình nghi đánh cắp dữ liệu tài chính ở châu Á. Ảnh minh hoạ: The Hacker News — يشتبه في أن قراصنة من فيتنام سرقوا بيانات مالية في آسيا. رسم توضيحي: أخبار القراصنة

يبدأ الهجوم عادة بالسيطرة على حساب فيسبوك. ثم قام المتسللون بتغيير الاسم والواجهة لانتحال شخصية روبوتات الدردشة الذكية الشهيرة من Google أو OpenAI أو Midjourney.

حتى أن المتسللين يقومون بتشغيل الإعلانات للوصول إلى الضحايا، وخداع المستخدمين لزيارة مواقع ويب مزيفة. كان حساب Midjourney المزيف لديه 1.2 مليون متابع قبل أن يتم إزالته في منتصف عام 2023.

بمجرد سرقة البيانات، يتم تكوين RotBot للاتصال بروبوت Telegram وتشغيل برنامج XClient الخبيث في الذاكرة. يتم جمع معلومات الأمان والمصادقة على متصفحات الويب مثل Brave وCoc Coc وGoogle Chrome وMicrosoft Edge وMozilla Firefox وOpera.

تم تصميم XClient أيضًا لجمع البيانات من حسابات الضحايا على Facebook و Instagram و TikTok و YouTube. ويقوم البرنامج الخبيث أيضًا بجمع التفاصيل حول طرق الدفع والأذونات المتعلقة بحسابات الإعلانات والأعمال التجارية على Facebook.

امتدت حملات الإعلانات الخبيثة بشكل واسع عبر نظام ميتا الإعلاني. ومن هناك، تواصل المتسللون بنشاط مع الضحايا في جميع أنحاء أوروبا، مثل ألمانيا وبولندا وإيطاليا وفرنسا وبلجيكا وإسبانيا وهولندا ورومانيا والسويد وغيرها، بالإضافة إلى دول آسيوية، وفقًا للمصدر.

[إعلان 2]
المصدر: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm