A fenti információkat a The Hacker News közölte a Cisco Corporation (USA) részét képező Cisco Talos biztonsági kutatócsoport közleményére hivatkozva.
„Észleteztünk egy olyan rosszindulatú programot, amelynek célja pénzügyi adatok gyűjtése Indiában, Kínában, Dél-Koreában, Bangladesben, Pakisztánban, Indonéziában és Vietnamban 2023 májusa óta” – jelentette be a Cisco Talos biztonsági csapata.
A CoralRaider nevű hackercsoport támadási kampánya „az áldozatok hitelesítő adataira, pénzügyi adataira és közösségi média fiókjaira, beleértve az üzleti és hirdetési fiókokat is, összpontosított”.
A Cisco Talos szerint a hackerek a Quasar RAT és az XClient egy testreszabott változatát, a RotBotot használták a támadások végrehajtásához. Emellett különféle eszközöket is bevetettek, beleértve a távoli hozzáférésű trójaiakat és más rosszindulatú programokat, mint például az AsyncRAT, a NetSupport RAT és a Rhadamanthys. Emellett a hackerek számos speciális adatlopó szoftvert is bevetettek, mint például a Ducktail, a NodeStealer és a VietCredCare.
Az ellopott információkat a Telegramon keresztül gyűjtötték, amelyeket a hackerek aztán illegális haszonszerzés céljából a földalatti piacon kereskedtek.
„A Telegram csevegőcsatornáin megjelenő üzenetek, a nyelvi beállítások és a botok elnevezése, a hibakereső (PDB) karakterláncok alapján vietnami kulcsszavak vannak fixen kódolva a fájlban. Lehetséges, hogy a CoralRaidert kihasználó hackerek Vietnamból származnak” – jegyezte meg a Cisco Talos.
Vietnamból származó hackereket gyanúsítanak pénzügyi adatok ellopásával Ázsiában. Illusztráció: The Hacker News
A támadás általában Facebook-fiókok átvételével kezdődik. A hackerek ezután megváltoztatják a nevet és a felületet, hogy híres Google, OpenAI vagy Midjourney mesterséges intelligencia alapú chatbotoknak adja ki magukat.
A hackerek hirdetéseket is futtatnak, hogy elérjék az áldozatokat, és hamis weboldalakra csábítsák a felhasználókat. Egy hamis Midjourney-fióknak 1,2 millió követője volt, mielőtt 2023 közepén eltávolították.
Miután az adatokat ellopták, a RotBot úgy van konfigurálva, hogy kapcsolatba lépjen a Telegram bottal, és a memóriában futtassa az XClient rosszindulatú programot. Biztonsági és hitelesítési információkat gyűjt olyan webböngészőkről, mint a Brave, a Coc Coc, a Google Chrome, a Microsoft Edge, a Mozilla Firefox és az Opera.
Az XClient képes adatokat kinyerni az áldozatok Facebook-, Instagram-, TikTok- és YouTube-fiókjaiból. A rosszindulatú program a Facebook-hirdetési és üzleti fiókjaikhoz kapcsolódó fizetési módokról és engedélyekről is gyűjt információkat.
„A rosszindulatú hirdetési kampányok hatalmas eléréssel rendelkeznek a Meta hirdetési rendszerén keresztül. Innen a hackerek aktívan megkeresik az áldozatokat Európa-szerte, például Németországban, Lengyelországban, Olaszországban, Franciaországban, Belgiumban, Spanyolországban, Hollandiában, Romániában, Svédországban és más helyeken, valamint ázsiai országokban” – hangsúlyozta a forrás.
[hirdetés_2]
Forrás: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
![[Fotó] Felvonulás Laosz nemzeti ünnepének 50. évfordulója alkalmából](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764691918289_ndo_br_0-jpg.webp&w=3840&q=75)
![[Fotó] A Tuyet Son szobor imádata - egy közel 400 éves kincs a Keo Pagodában](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764679323086_ndo_br_tempimageomw0hi-4884-jpg.webp&w=3840&q=75)
Hozzászólás (0)