Hacker vietnamita é suspeito de planejar problemas na Ásia

As informações acima foram relatadas pelo The Hacker News , citando uma declaração do grupo de pesquisa de segurança Cisco Talos, parte da Cisco Corporation (EUA).

"Detectamos um malware projetado para coletar dados financeiros na Índia, China, Coreia do Sul, Bangladesh, Paquistão, Indonésia e Vietnã desde maio de 2023", revelou a equipe de segurança do Cisco Talos.

A campanha de ataque do grupo de hackers CoralRaider "focou nas credenciais das vítimas, dados financeiros e contas de mídia social, incluindo contas comerciais e de publicidade".

O Cisco Talos descreve que os invasores usaram o RotBot, uma variante personalizada do Quasar RAT e do XClient, para realizar os ataques. Eles também utilizaram uma variedade de ferramentas, incluindo trojans de acesso remoto e outros malwares, como AsyncRAT, NetSupport RAT e Rhadamanthys. Além disso, os invasores também utilizaram uma variedade de softwares especializados em roubo de dados, como Ducktail, NodeStealer e VietCredCare.

As informações roubadas foram coletadas via Telegram, que os hackers então comercializaram no mercado clandestino em busca de lucros ilegais.

"Com base em mensagens em canais de bate-papo do Telegram, preferências de idioma e nomenclatura de bots, a string de depuração (PDB) possui palavras-chave vietnamitas codificadas no arquivo. É possível que os hackers que exploram o CoralRaider sejam do Vietnã", comentou Cisco Talos.

O ataque geralmente começa com o controle de uma conta do Facebook. Os hackers então alteram o nome e a interface para imitar chatbots de IA famosos do Google, OpenAI ou Midjourney.

Hackers chegam a veicular anúncios para alcançar as vítimas, atraindo usuários para sites falsos. Uma conta falsa do Midjourney tinha 1,2 milhão de seguidores antes de ser removida em meados de 2023.

Após o roubo dos dados, o RotBot é configurado para contatar o bot do Telegram e executar o malware XClient na memória. Informações de segurança e autenticação em navegadores como Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera são coletadas.

O XClient também foi projetado para extrair dados das contas do Facebook, Instagram, TikTok e YouTube das vítimas. O malware também coleta detalhes sobre métodos de pagamento e permissões relacionadas às contas comerciais e de publicidade do Facebook.

"As campanhas publicitárias maliciosas tiveram um enorme alcance através do sistema de publicidade do Meta. A partir daí, os hackers abordaram ativamente vítimas em toda a Europa, como Alemanha, Polônia, Itália, França, Bélgica, Espanha, Holanda, Romênia, Suécia e outros lugares, além de países asiáticos", enfatizou a fonte.