ข้อมูลข้างต้นนี้ได้รับการรายงานโดย The Hacker News โดยอ้างอิงจากแถลงการณ์ของกลุ่มวิจัยด้านความปลอดภัย Cisco Talos ซึ่งเป็นส่วนหนึ่งของ Cisco Corporation (USA)
“เราตรวจพบมัลแวร์ที่ออกแบบมาเพื่อรวบรวมข้อมูลทางการเงินในอินเดีย จีน เกาหลีใต้ บังกลาเทศ ปากีสถาน อินโดนีเซีย และเวียดนามตั้งแต่เดือนพฤษภาคม 2023” ทีมงานด้านความปลอดภัยของ Cisco Talos เปิดเผย
แคมเปญโจมตีโดยกลุ่มแฮกเกอร์ที่เรียกว่า CoralRaider "มุ่งเน้นไปที่ข้อมูลประจำตัวของเหยื่อ ข้อมูลทางการเงิน และบัญชีโซเชียลมีเดีย รวมถึงบัญชีธุรกิจและโฆษณา"
Cisco Talos อธิบายว่าผู้โจมตีใช้ RotBot ซึ่งเป็นเวอร์ชันปรับแต่งของ Quasar RAT และ XClient เพื่อดำเนินการโจมตี พวกเขายังใช้เครื่องมือหลากหลาย รวมถึงโทรจันการเข้าถึงระยะไกลและมัลแวร์อื่นๆ เช่น AsyncRAT, NetSupport RAT, Rhadamanthys นอกจากนี้ ผู้โจมตียังใช้ซอฟต์แวร์ขโมยข้อมูลเฉพาะทางอีกมากมาย เช่น Ducktail, NodeStealer และ VietCredCare
ข้อมูลที่ถูกขโมยมาถูกเก็บรวบรวมผ่าน Telegram จากนั้นแฮกเกอร์จะนำไปขายในตลาดใต้ดินเพื่อแสวงหากำไรที่ผิดกฎหมาย
จากข้อความในช่องแชทของ Telegram การตั้งค่าภาษา และการตั้งชื่อบอท พบว่าสตริงดีบัก (PDB) มีคีย์เวิร์ดภาษาเวียดนามแบบฮาร์ดโค้ดในไฟล์ เป็นไปได้ว่าแฮกเกอร์ที่ใช้ประโยชน์จาก CoralRaider อาจมาจากเวียดนาม - Cisco Talos ให้ความเห็น
แฮกเกอร์จากเวียดนามถูกสงสัยว่าขโมยข้อมูลทางการเงินในเอเชีย ภาพประกอบ: The Hacker News
การโจมตีมักเริ่มต้นด้วยการควบคุมบัญชี Facebook จากนั้นแฮกเกอร์จะเปลี่ยนชื่อและอินเทอร์เฟซเพื่อปลอมตัวเป็นแชทบอท AI ชื่อดังจาก Google, OpenAI หรือ Midjourney
แฮกเกอร์ยังลงโฆษณาเพื่อเข้าถึงเหยื่อ ล่อลวงผู้ใช้ไปยังเว็บไซต์ปลอม บัญชีปลอมของ Midjourney บัญชีหนึ่งมีผู้ติดตาม 1.2 ล้านคน ก่อนที่จะถูกปิดตัวลงในกลางปี 2023
เมื่อข้อมูลถูกขโมย RotBot จะถูกกำหนดค่าให้ติดต่อกับบ็อต Telegram และรันมัลแวร์ XClient ในหน่วยความจำ ข้อมูลความปลอดภัยและการตรวจสอบสิทธิ์บนเว็บเบราว์เซอร์ เช่น Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox และ Opera จะถูกเก็บรวบรวม
XClient ยังออกแบบมาเพื่อดึงข้อมูลจากบัญชี Facebook, Instagram, TikTok และ YouTube ของเหยื่อ มัลแวร์ยังเก็บรวบรวมรายละเอียดเกี่ยวกับวิธีการชำระเงินและการอนุญาตที่เกี่ยวข้องกับบัญชีโฆษณาและธุรกิจบน Facebook ของพวกเขาอีกด้วย
“แคมเปญโฆษณาที่เป็นอันตรายมีการเข้าถึงอย่างกว้างขวางผ่านระบบโฆษณาของ Meta จากนั้นแฮกเกอร์ก็ดำเนินการโจมตีเหยื่ออย่างแข็งขันทั่วทั้งยุโรป ไม่ว่าจะเป็นเยอรมนี โปแลนด์ อิตาลี ฝรั่งเศส เบลเยียม สเปน เนเธอร์แลนด์ โรมาเนีย สวีเดน และประเทศอื่นๆ รวมถึงประเทศในเอเชีย” แหล่งข่าวกล่าวเน้นย้ำ
ที่มา: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
การแสดงความคิดเห็น (0)