Powyższe informacje podał serwis The Hacker News , powołując się na oświadczenie grupy badawczej ds. bezpieczeństwa Cisco Talos, będącej częścią Cisco Corporation (USA).
„Wykryliśmy złośliwe oprogramowanie służące do zbierania danych finansowych w Indiach, Chinach, Korei Południowej, Bangladeszu, Pakistanie, Indonezji i Wietnamie od maja 2023 r.” – ujawnił zespół ds. bezpieczeństwa Cisco Talos.
Kampania ataków przeprowadzona przez grupę hakerów o nazwie CoralRaider „skupiała się na danych uwierzytelniających ofiary, ich danych finansowych i kontach w mediach społecznościowych, w tym kontach firmowych i reklamowych”.
Cisco Talos opisuje hakerów wykorzystujących RotBota, zmodyfikowaną wersję Quasar RAT i XClient, do przeprowadzania ataków. Wykorzystali również różnorodne narzędzia, w tym trojany zdalnego dostępu i inne złośliwe oprogramowanie, takie jak AsyncRAT, NetSupport RAT, Rhadamanthys. Ponadto hakerzy korzystali również z wielu specjalistycznych programów do kradzieży danych, takich jak Ducktail, NodeStealer i VietCredCare.
Skradzione informacje zbierano za pośrednictwem aplikacji Telegram, którą hakerzy następnie handlowali na czarnym rynku, osiągając w ten sposób nielegalne zyski.
„Na podstawie wiadomości w kanałach czatu Telegram, preferencji językowych i nazewnictwa botów, ciągów debugera (PDB), wietnamskie słowa kluczowe są na stałe zakodowane w pliku. Możliwe, że hakerzy wykorzystujący lukę w zabezpieczeniach CoralRaider pochodzą z Wietnamu” – skomentował Cisco Talos.
Hakerzy pochodzący z Wietnamu są podejrzewani o kradzież danych finansowych w Azji. Zdjęcie ilustracyjne: The Hacker News
Atak zazwyczaj rozpoczyna się od przejęcia kont na Facebooku. Następnie hakerzy zmieniają nazwę i interfejs, podszywając się pod znane boty AI z Google, OpenAI lub Midjourney.
Hakerzy używają nawet reklam, aby dotrzeć do ofiar, zwabiając użytkowników na fałszywe strony internetowe. Jedno fałszywe konto Midjourney miało 1,2 miliona obserwujących, zanim zostało usunięte w połowie 2023 roku.
Po kradzieży danych RotBot jest konfigurowany do nawiązania kontaktu z botem Telegram i uruchomienia złośliwego oprogramowania XClient w pamięci. Gromadzone są informacje dotyczące bezpieczeństwa i uwierzytelniania w przeglądarkach internetowych, takich jak Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox i Opera.
XClient został również zaprojektowany do pozyskiwania danych z kont ofiar na Facebooku, Instagramie, TikToku i YouTube. Szkodliwe oprogramowanie gromadzi również informacje o metodach płatności i uprawnieniach związanych z kontami reklamowymi i firmowymi na Facebooku.
„Złośliwe kampanie reklamowe mają ogromny zasięg za pośrednictwem systemu reklamowego Meta. Stamtąd hakerzy aktywnie atakują ofiary w całej Europie, takiej jak Niemcy, Polska, Włochy, Francja, Belgia, Hiszpania, Holandia, Rumunia, Szwecja i inne miejsca, a także kraje azjatyckie” – podkreśliło źródło.
Źródło: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
![[Zdjęcie] Odkryj wyjątkowe przeżycia na pierwszym Światowym Festiwalu Kultury](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/11/1760198064937_le-hoi-van-hoa-4199-3623-jpg.webp)
![[Zdjęcie] Otwarcie Światowego Festiwalu Kultury w Hanoi](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760113426728_ndo_br_lehoi-khaimac-jpg.webp)
![[Zdjęcie] Sekretarz generalny bierze udział w paradzie z okazji 80. rocznicy założenia Koreańskiej Partii Robotniczej](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/11/1760150039564_vna-potal-tong-bi-thu-du-le-duyet-binh-ky-niem-80-nam-thanh-lap-dang-lao-dong-trieu-tien-8331994-jpg.webp)
![[Zdjęcie] Ho Chi Minh City lśni flagami i kwiatami w przededniu I Kongresu Partii, kadencji 2025-2030](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/10/1760102923219_ndo_br_thiet-ke-chua-co-ten-43-png.webp)
Komentarz (0)