Les informations ci-dessus ont été rapportées par The Hacker News citant une déclaration du groupe de recherche en sécurité Cisco Talos, qui fait partie de Cisco Corporation (USA).
« Nous avons détecté un logiciel malveillant conçu pour collecter des données financières en Inde, en Chine, en Corée du Sud, au Bangladesh, au Pakistan, en Indonésie et au Vietnam depuis mai 2023 » – a révélé l'équipe de sécurité de Cisco Talos.
La campagne d'attaque menée par le groupe de pirates informatiques CoralRaider « s'est concentrée sur les informations d'identification, les données financières et les comptes de réseaux sociaux des victimes, y compris les comptes professionnels et publicitaires ».
Cisco Talos décrit les pirates informatiques utilisant RotBot, une variante personnalisée de Quasar RAT et XClient, pour mener leurs attaques. Ils ont également utilisé divers outils, notamment des chevaux de Troie d'accès à distance et d'autres logiciels malveillants tels qu'AsyncRAT, NetSupport RAT et Rhadamanthys. De plus, les pirates ont également utilisé de nombreux logiciels spécialisés dans le vol de données, tels que Ducktail, NodeStealer et VietCredCare.
Les informations volées ont été collectées via Telegram, que les pirates ont ensuite échangées sur le marché clandestin pour des profits illégaux.
« D'après les messages des canaux de discussion Telegram, les préférences linguistiques, les noms des bots, les chaînes de débogage (PDB) et les mots-clés vietnamiens codés en dur dans le fichier, il est possible que les pirates informatiques exploitant CoralRaider viennent du Vietnam », a commenté Cisco Talos.
Des pirates informatiques originaires du Vietnam sont soupçonnés d'avoir volé des données financières en Asie. Illustration : The Hacker News
L'attaque commence généralement par le piratage de comptes Facebook. Les pirates modifient ensuite le nom et l'interface pour se faire passer pour des chatbots IA célèbres de Google, OpenAI ou Midjourney.
Les pirates informatiques diffusent même des publicités pour atteindre leurs victimes, les attirant vers de faux sites web. Un faux compte Midjourney comptait 1,2 million d'abonnés avant d'être supprimé mi-2023.
Une fois les données volées, RotBot est configuré pour contacter le bot Telegram et exécuter le logiciel malveillant XClient en mémoire. Les informations de sécurité et d'authentification des navigateurs web tels que Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera sont collectées.
XClient est également conçu pour extraire les données des comptes Facebook, Instagram, TikTok et YouTube des victimes. Le logiciel malveillant collecte également des informations sur les modes de paiement et les autorisations liées à leurs comptes publicitaires et professionnels Facebook.
« Les campagnes publicitaires malveillantes ont une portée considérable grâce au système publicitaire de Meta. De là, les pirates contactent activement leurs victimes dans toute l'Europe, notamment en Allemagne, en Pologne, en Italie, en France, en Belgique, en Espagne, aux Pays-Bas, en Roumanie, en Suède et ailleurs, ainsi que dans les pays asiatiques », a souligné la source.
Source : https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Comment (0)