Об этом сообщает The Hacker News со ссылкой на заявление исследовательской группы по безопасности Cisco Talos, входящей в состав корпорации Cisco (США).

«Мы обнаружили вредоносное ПО, предназначенное для сбора финансовых данных в Индии, Китае, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме с мая 2023 года», — сообщила группа безопасности Cisco Talos.

Атакующая кампания хакерской группы CoralRaider «была сосредоточена на учетных данных жертв, финансовых данных и аккаунтах в социальных сетях, включая бизнес-аккаунты и рекламные аккаунты».

Cisco Talos описывает хакеров, использующих RotBot, модифицированный вариант Quasar RAT и XClient, для осуществления атак. Они также используют различные инструменты, включая трояны удаленного доступа и другие вредоносные программы, такие как AsyncRAT, NetSupport RAT, Rhadamanthys. Кроме того, хакеры также используют множество специализированных программ для кражи данных, таких как Ducktail, NodeStealer и VietCredCare.

Украденная информация собиралась через Telegram, а затем хакеры продавали ее на подпольном рынке, получая незаконную прибыль.

«Судя по сообщениям в чат-каналах Telegram, языковым предпочтениям и наименованию ботов, строка отладчика (PDB) имеет жестко закодированные вьетнамские ключевые слова в файле. Вполне возможно, что хакеры, эксплуатирующие CoralRaider, из Вьетнама», — прокомментировал Cisco Talos.

Атака обычно начинается с захвата контроля над аккаунтом Facebook. Затем хакеры изменили название и интерфейс, чтобы выдать себя за известных чат-ботов на основе искусственного интеллекта от Google, OpenAI или Midjourney.

Хакеры даже запускают рекламу, чтобы привлечь жертв, обманывая пользователей и заставляя их посещать поддельные веб-сайты. У фейкового аккаунта Midjourney было 1,2 миллиона подписчиков, прежде чем он был удален в середине 2023 года.

После кражи данных RotBot настраивается на связь с ботом Telegram и запуск вредоносного ПО XClient в памяти. Собирается информация о безопасности и аутентификации в таких веб-браузерах, как Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.

XClient также предназначен для сбора данных из аккаунтов жертв Facebook, Instagram, TikTok и YouTube. Вредоносная программа также собирает данные о способах оплаты и разрешениях, связанных с рекламными и бизнес-аккаунтами пользователей Facebook.

«Вредоносные рекламные кампании имели огромный охват через рекламную систему Meta. Оттуда хакеры активно обращались к жертвам по всей Европе, в том числе в Германии, Польше, Италии, Франции, Бельгии, Испании, Нидерландах, Румынии, Швеции и других странах, а также в странах Азии», — подчеркнул источник.