La información anterior fue reportada por The Hacker News , citando un comunicado del grupo de investigación de seguridad Cisco Talos, parte de Cisco Corporation (EE. UU.).
"Hemos detectado un malware diseñado para recopilar datos financieros en India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam desde mayo de 2023", reveló el equipo de seguridad de Cisco Talos.
La campaña de ataque del grupo de hackers llamado CoralRaider "se centró en las credenciales de las víctimas, datos financieros y cuentas de redes sociales, incluidas cuentas comerciales y publicitarias".
Cisco Talos describe que los atacantes utilizaron RotBot, una variante personalizada de Quasar RAT y XClient, para llevar a cabo los ataques. También emplearon diversas herramientas, incluyendo troyanos de acceso remoto y otro malware como AsyncRAT, NetSupport RAT y Rhadamanthys. Además, los atacantes emplearon software especializado para el robo de datos, como Ducktail, NodeStealer y VietCredCare.
La información robada fue recopilada a través de Telegram, y los piratas informáticos luego comercializaron en el mercado negro para obtener ganancias ilegales.
Según los mensajes en los canales de chat de Telegram, las preferencias de idioma y el nombre del bot, la cadena de depuración (PDB) contiene palabras clave vietnamitas codificadas. Es posible que los hackers que explotan CoralRaider sean de Vietnam, comentó Cisco Talos.
Se sospecha que hackers vietnamitas robaron datos financieros en Asia. Foto ilustrativa: The Hacker News
El ataque suele comenzar tomando el control de una cuenta de Facebook. Los hackers cambian el nombre y la interfaz para hacerse pasar por chatbots de IA conocidos de Google, OpenAI o Midjourney.
Los hackers incluso publican anuncios para llegar a las víctimas, atrayendo a los usuarios a sitios web falsos. Una cuenta falsa de Midjourney tenía 1,2 millones de seguidores antes de ser eliminada a mediados de 2023.
Una vez robados los datos, RotBot se configura para contactar con el bot de Telegram y ejecutar el malware XClient en memoria. Se recopila información de seguridad y autenticación en navegadores web como Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera.
XClient también está diseñado para extraer datos de las cuentas de Facebook, Instagram, TikTok y YouTube de las víctimas. El malware también recopila información sobre métodos de pago y permisos relacionados con sus cuentas publicitarias y comerciales de Facebook.
Las campañas publicitarias maliciosas tuvieron un gran alcance a través del sistema publicitario de Meta. Desde allí, los hackers contactaron activamente a víctimas en toda Europa, como Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumanía, Suecia y otros lugares, además de países asiáticos, enfatizó la fuente.
[anuncio_2]
Fuente: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Kommentar (0)