Die obigen Informationen wurden von The Hacker News unter Berufung auf eine Stellungnahme der Cisco Talos Sicherheitsforschungsgruppe, einem Teil der Cisco Corporation (USA), veröffentlicht.
„Wir haben seit Mai 2023 eine Schadsoftware entdeckt, die darauf ausgelegt ist, Finanzdaten in Indien, China, Südkorea, Bangladesch, Pakistan, Indonesien und Vietnam zu sammeln“ – gab das Cisco Talos Sicherheitsteam bekannt.
Die Angriffskampagne der Hackergruppe CoralRaider „zielte auf die Zugangsdaten, Finanzdaten und Social-Media-Konten der Opfer ab, darunter auch Geschäfts- und Werbekonten“.
Cisco Talos beschreibt, dass die Hacker für ihre Angriffe RotBot, eine angepasste Variante von Quasar RAT und XClient, einsetzten. Sie verwendeten außerdem verschiedene Tools, darunter Remote-Access-Trojaner und andere Schadsoftware wie AsyncRAT, NetSupport RAT und Rhadamanthys. Darüber hinaus nutzten die Hacker auch spezialisierte Software zum Datendiebstahl, beispielsweise Ducktail, NodeStealer und VietCredCare.
Die gestohlenen Informationen wurden über Telegram gesammelt und anschließend von Hackern auf dem Untergrundmarkt gegen illegale Gewinne gehandelt.
„Basierend auf Nachrichten in Telegram-Chatkanälen, Sprachpräferenzen und Bot-Benennungen sowie Debugger-Strings (PDB) sind vietnamesische Schlüsselwörter fest in der Datei codiert. Es ist möglich, dass Hacker, die CoralRaider ausnutzen, aus Vietnam stammen“, kommentierte Cisco Talos.
Hacker aus Vietnam stehen im Verdacht, in Asien Finanzdaten gestohlen zu haben. Illustrationsfoto: The Hacker News
Der Angriff beginnt üblicherweise mit der Übernahme von Facebook-Konten. Anschließend ändern die Hacker den Namen und die Benutzeroberfläche, um bekannte KI-Chatbots von Google, OpenAI oder Midjourney zu imitieren.
Hacker schalten sogar Anzeigen, um Opfer zu erreichen und Nutzer auf gefälschte Webseiten zu locken. Ein gefälschter Midjourney-Account hatte 1,2 Millionen Follower, bevor er Mitte 2023 gelöscht wurde.
Sobald die Daten gestohlen wurden, wird RotBot so konfiguriert, dass er den Telegram-Bot kontaktiert und die XClient-Malware im Arbeitsspeicher ausführt. Sicherheits- und Authentifizierungsinformationen von Webbrowsern wie Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera werden gesammelt.
XClient ist außerdem darauf ausgelegt, Daten von den Facebook-, Instagram-, TikTok- und YouTube-Konten der Opfer zu extrahieren. Die Schadsoftware sammelt zudem Details zu Zahlungsmethoden und Berechtigungen im Zusammenhang mit deren Facebook-Werbe- und Geschäftskonten.
„Die bösartigen Werbekampagnen haben über das Werbesystem von Meta eine enorme Reichweite. Von dort aus nehmen die Hacker aktiv Kontakt zu Opfern in ganz Europa auf, darunter Deutschland, Polen, Italien, Frankreich, Belgien, Spanien, die Niederlande, Rumänien, Schweden und andere Länder, sowie in asiatischen Ländern“, betonte die Quelle.
Quelle: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
![[Foto] Parade zur Feier des 50. Jahrestages des Nationalfeiertags von Laos](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764691918289_ndo_br_0-jpg.webp&w=3840&q=75)
Kommentar (0)