上記の情報は、シスコ社(米国)傘下のシスコ タロス セキュリティ リサーチ グループの声明を引用して、 The Hacker Newsが報じたものです。
「2023年5月以降、インド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムで金融データを収集するように設計されたマルウェアを検出しました」とシスコのタロスセキュリティチームが明らかにした。
CoralRaiderと呼ばれるハッカー集団による攻撃活動は、「被害者の認証情報、金融データ、ビジネスアカウントや広告アカウントを含むソーシャルメディアアカウントに重点を置いた」ものだった。
Cisco Talosによると、ハッカーたちはQuasar RATとXClientのカスタマイズされた亜種であるRotBotを使用して攻撃を実行したとのことです。また、リモートアクセス型トロイの木馬や、AsyncRAT、NetSupport RAT、Rhadamanthysといったマルウェアを含む様々なツールも使用していました。さらに、Ducktail、NodeStealer、VietCredCareといった特殊なデータ窃取ソフトウェアも多数使用していました。
盗まれた情報はTelegramを通じて収集され、ハッカーらはそれを闇市場で取引して違法な利益を得ていた。
「Telegramのチャットチャンネルのメッセージ、言語設定、ボット名、デバッガー(PDB)文字列に基づくと、ベトナム語のキーワードがファイルにハードコードされている。CoralRaiderを悪用するハッカーはベトナム出身である可能性がある」とCisco Talosはコメントした。
ベトナム出身のハッカーがアジアの金融データを盗んだ疑いがある。イラスト写真:The Hacker News
攻撃は通常、Facebookアカウントの乗っ取りから始まります。その後、ハッカーは名前とインターフェースを変更し、Google、OpenAI、Midjourneyなどの有名なAIチャットボットになりすまします。
ハッカーは被害者にリーチするために広告を掲載し、ユーザーを偽のウェブサイトに誘い込むことさえあります。ある偽のMidjourneyアカウントは、2023年半ばに削除されるまで120万人のフォロワーを抱えていました。
データが盗まれると、RotBotはTelegramボットに接続し、メモリ内でXClientマルウェアを実行するように設定されます。Brave、Coc Coc、Google Chrome、Microsoft Edge、Mozilla Firefox、Operaなどのウェブブラウザのセキュリティ情報と認証情報が収集されます。
XClientは、被害者のFacebook、Instagram、TikTok、YouTubeアカウントからデータを抽出するように設計されています。また、このマルウェアは、Facebookの広告アカウントやビジネスアカウントに関連する支払い方法や権限の詳細も収集します。
「悪質な広告キャンペーンはMetaの広告システムを通じて広範囲に及んでいます。ハッカーたちはそこから、ドイツ、ポーランド、イタリア、フランス、ベルギー、スペイン、オランダ、ルーマニア、スウェーデンなどヨーロッパ各地、そしてアジア諸国の被害者に積極的にアプローチしています」と情報筋は強調した。
[広告2]
出典: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
コメント (0)