Die oben genannten Informationen wurden von The Hacker News unter Berufung auf eine Erklärung der Sicherheitsforschungsgruppe Cisco Talos, Teil der Cisco Corporation (USA), gemeldet.
„Wir haben eine Schadsoftware entdeckt, die seit Mai 2023 darauf ausgelegt ist, Finanzdaten in Indien, China, Südkorea, Bangladesch, Pakistan, Indonesien und Vietnam zu sammeln“, gab das Sicherheitsteam von Cisco Talos bekannt.
Die Angriffskampagne der Hackergruppe namens CoralRaider „konzentrierte sich auf die Anmeldeinformationen, Finanzdaten und Social-Media-Konten der Opfer, darunter auch Geschäfts- und Werbekonten“.
Laut Cisco Talos nutzten die Hacker für ihre Angriffe RotBot, eine angepasste Variante von Quasar RAT und XClient. Sie nutzten außerdem verschiedene Tools, darunter Remote-Access-Trojaner und andere Schadsoftware wie AsyncRAT, NetSupport RAT und Rhadamanthys. Darüber hinaus nutzten die Hacker auch spezialisierte Software zum Datendiebstahl, wie beispielsweise Ducktail, NodeStealer und VietCredCare.
Die gestohlenen Informationen wurden über Telegram gesammelt und von den Hackern anschließend auf dem Untergrundmarkt mit illegalen Gewinnen gehandelt.
„Basierend auf Nachrichten in Telegram-Chatkanälen, Spracheinstellungen und Bot-Benennungen sind Debugger-Strings (PDB) sowie vietnamesische Schlüsselwörter in der Datei fest codiert. Es ist möglich, dass Hacker, die CoralRaider ausnutzen, aus Vietnam kommen“, kommentierte Cisco Talos.
Aus Vietnam stammende Hacker stehen im Verdacht, Finanzdaten in Asien zu stehlen. Bild: The Hacker News
Der Angriff beginnt in der Regel mit der Übernahme von Facebook-Konten. Anschließend ändern Hacker den Namen und die Benutzeroberfläche, um sich als bekannte KI-Chatbots von Google, OpenAI oder Midjourney auszugeben.
Hacker schalten sogar Anzeigen, um Opfer zu erreichen und locken Benutzer auf gefälschte Websites. Ein gefälschter Midjourney-Account hatte 1,2 Millionen Follower, bevor er Mitte 2023 gelöscht wurde.
Sobald die Daten gestohlen wurden, wird RotBot so konfiguriert, dass er den Telegram-Bot kontaktiert und die XClient-Malware im Speicher ausführt. Sicherheits- und Authentifizierungsinformationen von Webbrowsern wie Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera werden erfasst.
XClient ist außerdem darauf ausgelegt, Daten aus den Facebook-, Instagram-, TikTok- und YouTube-Konten der Opfer zu extrahieren. Die Malware sammelt außerdem Details zu Zahlungsmethoden und Berechtigungen im Zusammenhang mit ihren Facebook-Werbe- und Geschäftskonten.
„Die bösartigen Werbekampagnen haben über das Werbesystem von Meta eine enorme Reichweite. Von dort aus wenden sich die Hacker aktiv an Opfer in ganz Europa, beispielsweise in Deutschland, Polen, Italien, Frankreich, Belgien, Spanien, den Niederlanden, Rumänien, Schweden und anderen Orten sowie in asiatischen Ländern“, betonte die Quelle.
[Anzeige_2]
Quelle: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Kommentar (0)