Les informations ci-dessus ont été rapportées par The Hacker News , citant une déclaration du groupe de recherche en sécurité Cisco Talos, qui fait partie de Cisco Corporation (USA).

« Nous avons détecté un malware conçu pour collecter des données financières en Inde, en Chine, en Corée du Sud, au Bangladesh, au Pakistan, en Indonésie et au Vietnam depuis mai 2023 », a révélé l'équipe de sécurité de Cisco Talos.

La campagne d'attaque menée par le groupe de pirates informatiques CoralRaider « s'est concentrée sur les informations d'identification, les données financières et les comptes de réseaux sociaux des victimes, y compris les comptes professionnels et publicitaires ».

Cisco Talos décrit les pirates utilisant RotBot, une variante personnalisée de Quasar RAT et XClient, pour mener les attaques. Ils utilisent également une variété d’outils, notamment des chevaux de Troie d’accès à distance et d’autres logiciels malveillants tels que AsyncRAT, NetSupport RAT, Rhadamanthys. De plus, les pirates utilisent également de nombreux logiciels spécialisés dans le vol de données tels que Ducktail, NodeStealer et VietCredCare.

Les informations volées ont été collectées via Telegram, que les pirates ont ensuite échangées sur le marché clandestin pour des profits illégaux.

« D'après les messages des canaux de discussion Telegram, les préférences linguistiques et les noms des bots, la chaîne de débogage (PDB) contient des mots-clés vietnamiens codés en dur. Il est possible que les pirates informatiques exploitant CoralRaider soient vietnamiens », a commenté Cisco Talos.

L’attaque commence généralement par la prise de contrôle d’un compte Facebook. Les pirates ont ensuite modifié le nom et l'interface pour se faire passer pour les célèbres chatbots IA de Google, OpenAI ou Midjourney.

Les pirates informatiques diffusent même des publicités pour atteindre leurs victimes, incitant les utilisateurs à visiter de faux sites Web. Un faux compte Midjourney comptait 1,2 million d'abonnés avant d'être supprimé à la mi-2023.

Une fois les données volées, RotBot est configuré pour contacter le bot Telegram et exécuter le malware XClient en mémoire. Les informations de sécurité et d'authentification sur les navigateurs Web tels que Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera sont collectées.

XClient est également conçu pour extraire les données des comptes Facebook, Instagram, TikTok et YouTube des victimes. Le logiciel malveillant collecte également des informations sur les méthodes de paiement et les autorisations liées à leurs comptes publicitaires et professionnels Facebook.

« Les campagnes publicitaires malveillantes ont eu une portée considérable grâce au système publicitaire de Meta. De là, les pirates ont activement contacté des victimes dans toute l'Europe, notamment en Allemagne, en Pologne, en Italie, en France, en Belgique, en Espagne, aux Pays-Bas, en Roumanie, en Suède et ailleurs, ainsi que dans les pays asiatiques », a souligné la source.