上記の情報は、シスコ社(米国)傘下のシスコ タロス セキュリティ リサーチ グループの声明を引用して、 The Hacker Newsが報じたものです。
「2023年5月以降、インド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムで金融データを収集するように設計されたマルウェアを検出しました」とシスコのタロスセキュリティチームは明らかにした。
CoralRaiderと呼ばれるハッカー集団による攻撃活動は、「被害者の認証情報、財務データ、ビジネスアカウントや広告アカウントを含むソーシャルメディアアカウントを標的にしていた」。
Cisco Talosによると、攻撃者はQuasar RATとXClientのカスタマイズされた亜種であるRotBotを使用して攻撃を実行しました。また、リモートアクセス型トロイの木馬や、AsyncRAT、NetSupport RAT、Rhadamanthysといったマルウェアを含む様々なツールも使用していました。さらに、Ducktail、NodeStealer、VietCredCareといった、様々な特殊なデータ窃取ソフトウェアも使用していました。
盗まれた情報はTelegramを通じて収集され、ハッカーらはそれを闇市場で取引して不法な利益を得ていた。
「Telegramのチャットチャンネルのメッセージ、言語設定、ボットの命名規則に基づくと、デバッガー文字列(PDB)のファイルにはベトナム語のキーワードがハードコードされている。CoralRaiderを悪用するハッカーはベトナム出身である可能性がある」とCisco Talosはコメントした。
ベトナム出身のハッカーがアジアの金融データを盗んだ疑いがある。イラスト写真:The Hacker News
攻撃は通常、Facebookアカウントを乗っ取ることから始まります。その後、ハッカーはアカウント名とインターフェースを変更し、Google、OpenAI、Midjourneyなどの有名なAIチャットボットを装います。
ハッカーは被害者にリーチするために広告を掲載し、ユーザーを偽のウェブサイトに誘い込むことさえあります。ある偽のMidjourneyアカウントは、2023年半ばに削除されるまで120万人のフォロワーを抱えていました。
データが盗まれると、RotBotはTelegramボットに接続し、メモリ内でXClientマルウェアを実行するように設定されます。Brave、Coc Coc、Google Chrome、Microsoft Edge、Mozilla Firefox、Operaなどのウェブブラウザのセキュリティ情報と認証情報が収集されます。
XClientは、被害者のFacebook、Instagram、TikTok、YouTubeアカウントからデータを抽出するように設計されています。また、このマルウェアは、Facebookの広告アカウントやビジネスアカウントに関連する支払い方法や権限の詳細も収集します。
「悪質な広告キャンペーンはMetaの広告システムを通じて広範囲に及んだ。そこからハッカーたちは、ドイツ、ポーランド、イタリア、フランス、ベルギー、スペイン、オランダ、ルーマニア、スウェーデンなどヨーロッパ各地、そしてアジア諸国の被害者に積極的にアプローチした」と情報筋は強調した。
[広告2]
出典: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
コメント (0)