Об этом сообщило издание The Hacker News со ссылкой на заявление исследовательской группы по безопасности Cisco Talos, входящей в состав корпорации Cisco (США).
«Мы обнаружили вредоносное ПО, предназначенное для сбора финансовых данных в Индии, Китае, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме с мая 2023 года», — сообщила группа безопасности Cisco Talos.
Атакующая кампания хакерской группы CoralRaider «была сосредоточена на учетных данных жертв, финансовых данных и аккаунтах социальных сетей, включая корпоративные и рекламные аккаунты».
Cisco Talos описывает, что злоумышленники использовали RotBot, модифицированный вариант Quasar RAT и XClient, для осуществления атак. Они также применяли различные инструменты, включая трояны удалённого доступа и другие вредоносные программы, такие как AsyncRAT, NetSupport RAT и Rhadamanthys. Кроме того, злоумышленники применяли специализированное ПО для кражи данных, такое как Ducktail, NodeStealer и VietCredCare.
Похищенная информация собиралась через Telegram, а затем хакеры продавали ее на подпольном рынке с целью получения незаконной прибыли.
«Судя по сообщениям в чатах Telegram, языковым настройкам и названию бота, строка отладчика (PDB) содержит жёстко запрограммированные ключевые слова на вьетнамском языке. Возможно, хакеры, эксплуатирующие CoralRaider, из Вьетнама», — прокомментировали в Cisco Talos.
Хакеры из Вьетнама подозреваются в краже финансовых данных в Азии. Иллюстрация: The Hacker News
Атака обычно начинается с захвата аккаунта Facebook. Затем хакеры меняют имя и интерфейс, чтобы выдавать себя за известных чат-ботов на базе искусственного интеллекта от Google, OpenAI или Midjourney.
Хакеры даже запускают рекламу, чтобы привлечь жертв, заманивая пользователей на поддельные сайты. У одного фейкового аккаунта Midjourney было 1,2 миллиона подписчиков, прежде чем он был удалён в середине 2023 года.
После кражи данных RotBot настраивается на связь с Telegram-ботом и запуск вредоносного ПО XClient в памяти. Собираются данные безопасности и аутентификации в таких веб-браузерах, как Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
XClient также предназначен для извлечения данных из аккаунтов жертв в Facebook, Instagram, TikTok и YouTube. Вредоносное ПО также собирает информацию о способах оплаты и разрешениях, связанных с их рекламными и корпоративными аккаунтами в Facebook.
«Вредоносные рекламные кампании имели огромный охват благодаря рекламной системе Meta. Оттуда хакеры активно взаимодействовали с жертвами по всей Европе, включая Германию, Польшу, Италию, Францию, Бельгию, Испанию, Нидерланды, Румынию, Швецию и другие страны, а также страны Азии», — подчеркнул источник.
Источник: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Комментарий (0)