Об этом сообщило издание The Hacker News со ссылкой на заявление исследовательской группы по безопасности Cisco Talos, входящей в состав корпорации Cisco (США).
«Мы обнаружили вредоносное ПО, предназначенное для сбора финансовых данных в Индии, Китае, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме с мая 2023 года», — сообщила команда по безопасности Cisco Talos.
Атакующая кампания хакерской группы CoralRaider «была сосредоточена на учетных данных жертв, финансовых данных и аккаунтах социальных сетей, включая корпоративные и рекламные аккаунты».
Cisco Talos описывает, что хакеры использовали RotBot, модифицированный вариант Quasar RAT и XClient, для проведения атак. Они также применяли различные инструменты, включая трояны удалённого доступа и другие вредоносные программы, такие как AsyncRAT, NetSupport RAT и Rhadamanthys. Кроме того, хакеры использовали множество специализированных программ для кражи данных, таких как Ducktail, NodeStealer и VietCredCare.
Похищенная информация собиралась через Telegram, а затем хакеры продавали ее на подпольном рынке с целью получения незаконной прибыли.
«Судя по сообщениям в чатах Telegram, языковым настройкам и названиям ботов, строкам отладчика (PDB), вьетнамские ключевые слова жёстко закодированы в файле. Возможно, хакеры, эксплуатирующие CoralRaider, родом из Вьетнама», — прокомментировали в Cisco Talos.
Хакеры из Вьетнама подозреваются в краже финансовых данных в Азии. Иллюстрация: The Hacker News
Атака обычно начинается со взлома аккаунтов Facebook. Затем хакеры меняют название и интерфейс, выдавая себя за известных чат-ботов на базе искусственного интеллекта от Google, OpenAI или Midjourney.
Хакеры даже запускают рекламу, чтобы привлечь жертв, заманивая пользователей на поддельные сайты. У одного фейкового аккаунта Midjourney было 1,2 миллиона подписчиков, прежде чем он был удалён в середине 2023 года.
После кражи данных RotBot настраивается на связь с Telegram-ботом и запуск вредоносного ПО XClient в памяти. Собираются данные безопасности и аутентификации в таких веб-браузерах, как Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
XClient также предназначен для извлечения данных из аккаунтов жертв в Facebook, Instagram, TikTok и YouTube. Вредоносное ПО также собирает информацию о способах оплаты и разрешениях, связанных с их рекламными и корпоративными аккаунтами в Facebook.
«Вредоносные рекламные кампании имеют огромный охват через рекламную систему Meta. Оттуда хакеры активно взаимодействуют с жертвами по всей Европе, включая Германию, Польшу, Италию, Францию, Бельгию, Испанию, Нидерланды, Румынию, Швецию и другие регионы, а также страны Азии», — подчеркнул источник.
Источник: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Комментарий (0)