Les informations ci-dessus ont été rapportées par The Hacker News , citant une déclaration du groupe de recherche en sécurité Cisco Talos, qui fait partie de Cisco Corporation (USA).
« Nous avons détecté un malware conçu pour collecter des données financières en Inde, en Chine, en Corée du Sud, au Bangladesh, au Pakistan, en Indonésie et au Vietnam depuis mai 2023 », a révélé l'équipe de sécurité de Cisco Talos.
La campagne d'attaque menée par le groupe de pirates informatiques CoralRaider « s'est concentrée sur les informations d'identification, les données financières et les comptes de réseaux sociaux des victimes, y compris les comptes professionnels et publicitaires ».
Cisco Talos décrit les attaquants utilisant RotBot, une variante personnalisée de Quasar RAT et XClient, pour mener leurs attaques. Ils ont également utilisé divers outils, notamment des chevaux de Troie d'accès à distance et d'autres logiciels malveillants tels qu'AsyncRAT, NetSupport RAT et Rhadamanthys. De plus, les attaquants ont également utilisé divers logiciels spécialisés de vol de données tels que Ducktail, NodeStealer et VietCredCare.
Les informations volées ont été collectées via Telegram, que les pirates ont ensuite échangées sur le marché clandestin pour des profits illégaux.
« D'après les messages des canaux de discussion Telegram, les préférences linguistiques et les noms des bots, la chaîne de débogage (PDB) contient des mots-clés vietnamiens codés en dur. Il est possible que les pirates informatiques exploitant CoralRaider soient vietnamiens », a commenté Cisco Talos.
Des pirates informatiques originaires du Vietnam sont soupçonnés d'avoir volé des données financières en Asie. Illustration : The Hacker News
L'attaque commence généralement par la prise de contrôle d'un compte Facebook. Les pirates modifient ensuite le nom et l'interface pour se faire passer pour des chatbots IA célèbres de Google, OpenAI ou Midjourney.
Les pirates informatiques diffusent même des publicités pour atteindre leurs victimes, les attirant vers de faux sites web. Un faux compte Midjourney comptait 1,2 million d'abonnés avant d'être supprimé mi-2023.
Une fois les données volées, RotBot est configuré pour contacter le bot Telegram et exécuter le malware XClient en mémoire. Les informations de sécurité et d'authentification des navigateurs web tels que Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera sont collectées.
XClient est également conçu pour extraire les données des comptes Facebook, Instagram, TikTok et YouTube des victimes. Le logiciel malveillant collecte également des informations sur les modes de paiement et les autorisations liées à leurs comptes publicitaires et professionnels Facebook.
« Les campagnes publicitaires malveillantes ont eu une portée considérable grâce au système publicitaire de Meta. De là, les pirates ont activement contacté des victimes dans toute l'Europe, notamment en Allemagne, en Pologne, en Italie, en France, en Belgique, en Espagne, aux Pays-Bas, en Roumanie, en Suède et ailleurs, ainsi que dans les pays asiatiques », a souligné la source.
Source : https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Comment (0)