هکر ویتنامی مظنون به "مغز متفکر" ایجاد مشکل در آسیا است

اطلاعات فوق توسط The Hacker News با استناد به بیانیه‌ای از گروه تحقیقاتی امنیتی Cisco Talos، بخشی از شرکت سیسکو (ایالات متحده آمریکا)، گزارش شده است.

تیم امنیتی سیسکو تالوس فاش کرد: «ما از ماه مه ۲۰۲۳ بدافزاری را شناسایی کرده‌ایم که برای جمع‌آوری داده‌های مالی در هند، چین، کره جنوبی، بنگلادش، پاکستان، اندونزی و ویتنام طراحی شده است.»

کمپین حمله توسط گروه هکری به نام CoralRaider «بر اطلاعات کاربری قربانیان، داده‌های مالی و حساب‌های رسانه‌های اجتماعی، از جمله حساب‌های تجاری و تبلیغاتی، متمرکز بود».

سیسکو تالوس توضیح می‌دهد که هکرها از RotBot، یک نوع سفارشی از Quasar RAT و XClient، برای انجام حملات استفاده کرده‌اند. آنها همچنین از ابزارهای متنوعی از جمله تروجان‌های دسترسی از راه دور و سایر بدافزارها مانند AsyncRAT، NetSupport RAT، Rhadamanthys استفاده کرده‌اند. علاوه بر این، هکرها از بسیاری از نرم‌افزارهای تخصصی سرقت داده‌ها مانند Ducktail، NodeStealer و VietCredCare نیز استفاده کرده‌اند.

اطلاعات سرقت شده از طریق تلگرام جمع‌آوری شده بود که سپس هکرها آن را در بازار زیرزمینی برای کسب سود غیرقانونی معامله کردند.

سیسکو تالوس اظهار داشت: «بر اساس پیام‌های موجود در کانال‌های چت تلگرام، تنظیمات زبان و نامگذاری ربات، رشته‌های اشکال‌زدا (PDB)، کلمات کلیدی ویتنامی در فایل به صورت کدگذاری شده وجود دارند. این احتمال وجود دارد که هکرهایی که از CoralRaider سوءاستفاده می‌کنند، اهل ویتنام باشند.»

Tin tặc có nguồn gốc từ Việt Nam bị tình nghi đánh cắp dữ liệu tài chính ở châu Á. Ảnh minh hoạ: The Hacker News — هکرهای ویتنامی مظنون به سرقت اطلاعات مالی در آسیا هستند. عکس از: The Hacker News

این حمله معمولاً با تصاحب حساب‌های کاربری فیس‌بوک آغاز می‌شود. سپس هکرها نام و رابط کاربری را تغییر می‌دهند تا خود را به جای چت‌بات‌های هوش مصنوعی معروف از گوگل، OpenAI یا Midjourney جا بزنند.

هکرها حتی برای دسترسی به قربانیان، تبلیغاتی را اجرا می‌کنند و کاربران را به وب‌سایت‌های جعلی سوق می‌دهند. یک حساب کاربری جعلی Midjourney قبل از اینکه در اواسط سال 2023 حذف شود، 1.2 میلیون دنبال‌کننده داشت.

پس از سرقت داده‌ها، RotBot طوری پیکربندی می‌شود که با ربات تلگرام ارتباط برقرار کرده و بدافزار XClient را در حافظه اجرا کند. اطلاعات امنیتی و احراز هویت در مرورگرهای وب مانند Brave، Coc Coc، Google Chrome، Microsoft Edge، Mozilla Firefox و Opera جمع‌آوری می‌شوند.

XClient همچنین برای استخراج داده‌ها از حساب‌های فیس‌بوک، اینستاگرام، تیک‌تاک و یوتیوب قربانیان طراحی شده است. این بدافزار همچنین جزئیاتی در مورد روش‌های پرداخت و مجوزهای مربوط به حساب‌های تبلیغاتی و تجاری فیس‌بوک آنها را جمع‌آوری می‌کند.

این منبع تأکید کرد: «کمپین‌های تبلیغاتی مخرب از طریق سیستم تبلیغاتی متا دسترسی گسترده‌ای دارند. از آنجا، هکرها علاوه بر کشورهای آسیایی، به طور فعال به قربانیان در سراسر اروپا مانند آلمان، لهستان، ایتالیا، فرانسه، بلژیک، اسپانیا، هلند، رومانی، سوئد و سایر نقاط نزدیک می‌شوند.»

منبع: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm