La información anterior fue reportada por The Hacker News citando un comunicado del grupo de investigación de seguridad Cisco Talos, parte de Cisco Corporation (EE. UU.).
“Hemos detectado un malware diseñado para recopilar datos financieros en India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam desde mayo de 2023”, reveló el equipo de seguridad de Cisco Talos.
La campaña de ataque del grupo de hackers llamado CoralRaider "se centró en las credenciales de las víctimas, datos financieros y cuentas de redes sociales, incluidas cuentas comerciales y publicitarias".
Cisco Talos describe que los hackers utilizaron RotBot, una variante personalizada de Quasar RAT y XClient, para llevar a cabo los ataques. También emplearon diversas herramientas, incluyendo troyanos de acceso remoto y otro malware como AsyncRAT, NetSupport RAT y Rhadamanthys. Además, emplearon diversos programas especializados de robo de datos, como Ducktail, NodeStealer y VietCredCare.
La información robada fue recopilada a través de Telegram, y los piratas informáticos luego comercializaron en el mercado negro para obtener ganancias ilegales.
Según los mensajes en los canales de chat de Telegram, las preferencias de idioma y el nombre del bot, las cadenas del depurador (PDB) indican que las palabras clave vietnamitas están codificadas en el archivo. Es posible que los hackers que explotan CoralRaider provengan de Vietnam, comentó Cisco Talos.
Se sospecha que hackers vietnamitas robaron datos financieros en Asia. Foto ilustrativa: The Hacker News
El ataque suele comenzar con el robo de cuentas de Facebook. Los hackers cambian el nombre y la interfaz para hacerse pasar por chatbots de IA conocidos de Google, OpenAI o Midjourney.
Los hackers incluso publican anuncios para llegar a las víctimas, atrayendo a los usuarios a sitios web falsos. Una cuenta falsa de Midjourney tenía 1,2 millones de seguidores antes de ser eliminada a mediados de 2023.
Una vez robados los datos, RotBot se configura para contactar al bot de Telegram y ejecutar el malware XClient en memoria. Se recopila información de seguridad y autenticación en navegadores web como Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera.
XClient también está diseñado para extraer datos de las cuentas de Facebook, Instagram, TikTok y YouTube de las víctimas. El malware también recopila información sobre métodos de pago y permisos relacionados con sus cuentas comerciales y de publicidad en Facebook.
Las campañas publicitarias maliciosas tienen un gran alcance a través del sistema publicitario de Meta. Desde allí, los hackers se dirigen activamente a víctimas en toda Europa, como Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumanía, Suecia y otros lugares, además de países asiáticos, enfatizó la fuente.
[anuncio_2]
Fuente: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Kommentar (0)