A fenti információkat a The Hacker News közölte a Cisco Corporation (USA) részét képező Cisco Talos biztonsági kutatócsoport közleményére hivatkozva.
„Észleteztünk egy olyan rosszindulatú programot, amelynek célja pénzügyi adatok gyűjtése Indiában, Kínában, Dél-Koreában, Bangladesben, Pakisztánban, Indonéziában és Vietnamban 2023 májusa óta” – jelentette be a Cisco Talos biztonsági csapata.
A CoralRaider nevű hackercsoport támadási kampánya „az áldozatok hitelesítő adataira, pénzügyi adataira és közösségi média fiókjaira, beleértve az üzleti és hirdetési fiókokat is, összpontosított”.
A Cisco Talos szerint a hackerek a Quasar RAT és az XClient egy testreszabott változatát, a RotBotot használták a támadások végrehajtásához. Emellett különféle eszközöket is bevetettek, beleértve a távoli hozzáférésű trójaiakat és más rosszindulatú programokat, mint például az AsyncRAT, a NetSupport RAT és a Rhadamanthys. Emellett a hackerek számos speciális adatlopó szoftvert is bevetettek, mint például a Ducktail, a NodeStealer és a VietCredCare.
Az ellopott információkat a Telegramon keresztül gyűjtötték, amelyeket a hackerek aztán illegális haszonszerzés céljából a földalatti piacon kereskedtek.
„A Telegram csevegőcsatornáin megjelenő üzenetek, a nyelvi beállítások és a botok elnevezése, a hibakereső (PDB) karakterláncok alapján vietnami kulcsszavak vannak fixen kódolva a fájlban. Lehetséges, hogy a CoralRaidert kihasználó hackerek Vietnamból származnak” – jegyezte meg a Cisco Talos.
Vietnamból származó hackereket gyanúsítanak pénzügyi adatok ellopásával Ázsiában. Illusztráció: The Hacker News
A támadás általában Facebook-fiókok átvételével kezdődik. A hackerek ezután megváltoztatják a nevet és a felületet, hogy híres Google, OpenAI vagy Midjourney mesterséges intelligencia alapú chatbotoknak adja ki magukat.
A hackerek hirdetéseket is futtatnak, hogy elérjék az áldozatokat, és hamis weboldalakra csábítsák a felhasználókat. Egy hamis Midjourney-fióknak 1,2 millió követője volt, mielőtt 2023 közepén eltávolították.
Miután az adatokat ellopták, a RotBot úgy van konfigurálva, hogy kapcsolatba lépjen a Telegram bottal, és a memóriában futtassa az XClient rosszindulatú programot. Biztonsági és hitelesítési információkat gyűjt olyan webböngészőkről, mint a Brave, a Coc Coc, a Google Chrome, a Microsoft Edge, a Mozilla Firefox és az Opera.
Az XClient képes adatokat kinyerni az áldozatok Facebook-, Instagram-, TikTok- és YouTube-fiókjaiból. A rosszindulatú program a Facebook-hirdetési és üzleti fiókjaikhoz kapcsolódó fizetési módokról és engedélyekről is gyűjt információkat.
„A rosszindulatú hirdetési kampányok hatalmas eléréssel rendelkeznek a Meta hirdetési rendszerén keresztül. Innen a hackerek aktívan megkeresik az áldozatokat Európa-szerte, például Németországban, Lengyelországban, Olaszországban, Franciaországban, Belgiumban, Spanyolországban, Hollandiában, Romániában, Svédországban és más helyeken, valamint ázsiai országokban” – hangsúlyozta a forrás.
[hirdetés_2]
Forrás: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
![[Fotó] Az I. Kormánypárt Kongresszusának ünnepélyes megnyitója](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/13/1760337945186_ndo_br_img-0787-jpg.webp)
![[Fotó] Lam főtitkár részt vesz az első kormánypárti kongresszus megnyitóján](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/13/1760321055249_ndo_br_cover-9284-jpg.webp)
Hozzászólás (0)