هاكر فيتنامي يُشتبه في أنه "العقل المدبر" للتسبب في الاضطرابات في آسيا

[إعلان 1]

تم نشر المعلومات المذكورة أعلاه بواسطة The Hacker News نقلاً عن بيان صادر عن مجموعة أبحاث الأمن Cisco Talos، وهي جزء من شركة Cisco Corporation (الولايات المتحدة الأمريكية).

"لقد اكتشفنا برنامجًا ضارًا مصممًا لجمع البيانات المالية في الهند والصين وكوريا الجنوبية وبنجلاديش وباكستان وإندونيسيا وفيتنام منذ مايو 2023" - كشف فريق الأمن في Cisco Talos.

وركزت حملة الهجوم التي شنتها مجموعة القراصنة المسماة CoralRaider على "بيانات اعتماد الضحايا وبياناتهم المالية وحساباتهم على وسائل التواصل الاجتماعي، بما في ذلك حسابات الأعمال والإعلان".

تصف شركة Cisco Talos المتسللين باستخدام RotBot، وهو نسخة مُعدّلة من Quasar RAT وXClient، لتنفيذ الهجمات. كما استخدموا أدوات متنوعة، بما في ذلك أحصنة طروادة للوصول عن بُعد وبرامج ضارة أخرى مثل AsyncRAT وNetSupport RAT وRhadamanthys. بالإضافة إلى ذلك، استخدم المتسللون العديد من برامج سرقة البيانات المتخصصة مثل Ducktail وNodeStealer وVietCredCare.

تم جمع المعلومات المسروقة عبر تطبيق Telegram، والتي قام القراصنة بعد ذلك بتداولها في السوق السوداء لتحقيق أرباح غير مشروعة.

بناءً على الرسائل في قنوات دردشة تيليجرام، وتفضيلات اللغة، وتسمية الروبوتات، وسلاسل مصحح الأخطاء (PDB)، والكلمات المفتاحية الفيتنامية، مُضمنة في الملف. من المحتمل أن يكون المتسللون الذين يستغلون CoralRaider من فيتنام - علق Cisco Talos.

Tin tặc có nguồn gốc từ Việt Nam bị tình nghi đánh cắp dữ liệu tài chính ở châu Á. Ảnh minh hoạ: The Hacker News — يُشتبه في أن قراصنة من فيتنام سرقوا بيانات مالية في آسيا. صورة توضيحية: The Hacker News

يبدأ الهجوم عادةً بالاستيلاء على حسابات فيسبوك. ثم يُغيّر المخترقون الاسم والواجهة لانتحال هوية روبوتات الدردشة الذكية الشهيرة من جوجل، أو OpenAI، أو Midjourney.

حتى أن المخترقين ينشرون إعلانات للوصول إلى الضحايا، ويجذبون المستخدمين إلى مواقع إلكترونية مزيفة. كان أحد حسابات ميدجورني المزيفة يتابعه 1.2 مليون شخص قبل إغلاقه منتصف عام 2023.

بمجرد سرقة البيانات، يُهيأ RotBot للاتصال بروبوت Telegram وتشغيل برمجية XClient الخبيثة في الذاكرة. يتم جمع معلومات الأمان والمصادقة على متصفحات الويب مثل Brave وCoc Coc وGoogle Chrome وMicrosoft Edge وMozilla Firefox وOpera.

صُمم XClient أيضًا لاستخراج البيانات من حسابات الضحايا على فيسبوك وإنستغرام وتيك توك ويوتيوب. يجمع البرنامج الخبيث أيضًا تفاصيل حول طرق الدفع والأذونات المتعلقة بحساباتهم الإعلانية والتجارية على فيسبوك.

تتمتع الحملات الإعلانية الخبيثة بانتشار واسع عبر نظام ميتا الإعلاني. ومن هناك، ينشط المتسللون في الوصول إلى الضحايا في جميع أنحاء أوروبا، مثل ألمانيا وبولندا وإيطاليا وفرنسا وبلجيكا وإسبانيا وهولندا ورومانيا والسويد وغيرها، بالإضافة إلى دول آسيوية، وفقًا للمصدر.

[إعلان 2]
المصدر: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm