Βιετναμέζος χάκερ ύποπτος ως ο «εγκέφαλος» της πρόκλησης προβλημάτων στην Ασία

Οι παραπάνω πληροφορίες αναφέρθηκαν από το The Hacker News επικαλούμενο δήλωση της ομάδας έρευνας ασφάλειας Cisco Talos, η οποία αποτελεί μέρος της Cisco Corporation (ΗΠΑ).

«Έχουμε εντοπίσει ένα κακόβουλο λογισμικό που έχει σχεδιαστεί για τη συλλογή οικονομικών δεδομένων στην Ινδία, την Κίνα, τη Νότια Κορέα, το Μπαγκλαντές, το Πακιστάν, την Ινδονησία και το Βιετνάμ από τον Μάιο του 2023» – αποκάλυψε η ομάδα ασφαλείας της Cisco Talos.

Η εκστρατεία επίθεσης από την ομάδα χάκερ με την ονομασία CoralRaider «επικεντρώθηκε στα διαπιστευτήρια, τα οικονομικά δεδομένα και τους λογαριασμούς των θυμάτων στα μέσα κοινωνικής δικτύωσης, συμπεριλαμβανομένων επιχειρηματικών και διαφημιστικών λογαριασμών».

Το Cisco Talos περιγράφει τους χάκερ που χρησιμοποίησαν το RotBot, μια προσαρμοσμένη παραλλαγή των Quasar RAT και XClient, για να πραγματοποιήσουν τις επιθέσεις. Χρησιμοποίησαν επίσης μια ποικιλία εργαλείων, συμπεριλαμβανομένων trojans απομακρυσμένης πρόσβασης και άλλου κακόβουλου λογισμικού όπως AsyncRAT, NetSupport RAT, Rhadamanthys. Επιπλέον, οι χάκερ χρησιμοποίησαν επίσης πολλά εξειδικευμένα λογισμικά κλοπής δεδομένων όπως Ducktail, NodeStealer και VietCredCare.

Οι κλεμμένες πληροφορίες συλλέχθηκαν μέσω Telegram, τις οποίες οι χάκερ στη συνέχεια διαπραγματεύτηκαν στην υπόγεια αγορά για παράνομα κέρδη.

«Με βάση τα μηνύματα στα κανάλια συνομιλίας του Telegram, τις προτιμήσεις γλώσσας και την ονομασία των bot, τις συμβολοσειρές του εργαλείου εντοπισμού σφαλμάτων (PDB), οι λέξεις-κλειδιά του Βιετνάμ είναι ενσωματωμένες στο αρχείο. Είναι πιθανό οι χάκερ που εκμεταλλεύονται το CoralRaider να προέρχονται από το Βιετνάμ» - σχολίασε ο Cisco Talos.

Η επίθεση συνήθως ξεκινά με την κατάληψη λογαριασμών στο Facebook. Στη συνέχεια, οι χάκερ αλλάζουν το όνομα και τη διεπαφή για να μιμηθούν διάσημα chatbot τεχνητής νοημοσύνης από την Google, το OpenAI ή το Midjourney.

Οι χάκερ προβάλλουν ακόμη και διαφημίσεις για να προσεγγίσουν τα θύματα, παρασύροντας τους χρήστες σε ψεύτικους ιστότοπους. Ένας ψεύτικος λογαριασμός Midjourney είχε 1,2 εκατομμύρια ακόλουθους πριν καταργηθεί στα μέσα του 2023.

Μόλις κλαπούν τα δεδομένα, το RotBot ρυθμίζεται ώστε να επικοινωνεί με το bot του Telegram και να εκτελεί το κακόβουλο λογισμικό XClient στη μνήμη. Συλλέγονται πληροφορίες ασφάλειας και ελέγχου ταυτότητας σε προγράμματα περιήγησης ιστού όπως Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox και Opera.

Το XClient έχει επίσης σχεδιαστεί για να εξάγει δεδομένα από τους λογαριασμούς των θυμάτων στο Facebook, Instagram, TikTok και YouTube. Το κακόβουλο λογισμικό συλλέγει επίσης λεπτομέρειες σχετικά με τις μεθόδους πληρωμής και τα δικαιώματα που σχετίζονται με τους διαφημιστικούς και επαγγελματικούς λογαριασμούς τους στο Facebook.

«Οι κακόβουλες διαφημιστικές καμπάνιες έχουν τεράστια εμβέλεια μέσω του διαφημιστικού συστήματος της Meta. Από εκεί, οι χάκερ προσεγγίζουν ενεργά τα θύματα σε όλη την Ευρώπη, όπως η Γερμανία, η Πολωνία, η Ιταλία, η Γαλλία, το Βέλγιο, η Ισπανία, η Ολλανδία, η Ρουμανία, η Σουηδία και άλλα μέρη, εκτός από τις ασιατικές χώρες», τόνισε η πηγή.