RotBot-Malware
Eine Gruppe, die vermutlich aus Vietnam stammt, wurde identifiziert, als sie seit mindestens Mai 2023 Einzelpersonen in verschiedenen asiatischen und südostasiatischen Ländern mit bedrohlicher Software angreift, die darauf abzielt, wertvolle Informationen zu extrahieren. Cybersicherheitsexperten beobachten diese Operation, die als CoralRaider bekannt ist, genau und stellen fest, dass sie finanzielle Motive hat. Zu den Schwerpunkten der Kampagne gehören Indien, China, Südkorea, Bangladesch, Pakistan, Indonesien und Vietnam.
Dieses Syndikat von Cyberkriminellen ist auf den Diebstahl von Anmeldeinformationen, Finanzunterlagen und Social-Media-Profilen spezialisiert, sowohl von Privat- als auch von Geschäftskonten. Ihr Arsenal für diesen speziellen Angriff umfasst RotBot, eine angepasste Version von Quasar RAT und den XClient-Stealer. Darüber hinaus setzen sie eine Reihe handelsüblicher Malware ein, wie etwa AsyncRAT , NetSupport RAT und Rhadamanthys , die darauf abzielen, Fernzugriff zu erlangen und Informationen aus kompromittierten Systemen abzuschöpfen.
Inhaltsverzeichnis
Cyberkriminelle wollen vertrauliche Informationen von ausgewählten Zielen stehlen
Angreifer aus Vietnam legen großen Wert auf die Infiltration von Geschäfts- und Werbekonten. Dabei nutzen sie eine Vielzahl von Stealer-Malware-Familien wie Ducktail , NodeStealer und VietCredCare , um die Kontrolle über diese Konten zu übernehmen und sie anschließend zu monetarisieren.
Ihre Vorgehensweise besteht darin, Telegram zu nutzen, um die von den Rechnern der Opfer gestohlenen Informationen zu übermitteln, die dann auf geheimen Märkten gehandelt werden, um unrechtmäßige Gewinne zu erzielen.
Es gibt Hinweise darauf, dass sich die Betreiber von CoralRaider in Vietnam befinden. Dies zeigen die Nachrichten der Akteure in ihren Telegram Command and Control (C2)-Bot-Kanälen sowie ihre Vorliebe für die vietnamesische Sprache bei der Benennung ihrer Bots, PDB-Strings und andere vietnamesische Begriffe, die in ihren Payload-Binärdateien fest codiert sind.
Eine mehrstufige Infektionskette verursacht die Bedrohung durch die RotBot-Malware
Die Angriffssequenz beginnt mit einer Windows-Verknüpfungsdatei (LNK), wobei die Art der Verteilung an die Ziele unklar bleibt. Beim Öffnen der LNK-Datei wird eine HTML-Anwendungsdatei (HTA) heruntergeladen und von einem vom Angreifer kontrollierten Server ausgeführt. Anschließend wird ein eingebettetes Visual Basic-Skript ausgeführt.
Dieses Skript entschlüsselt wiederum drei weitere PowerShell-Skripte und führt sie nacheinander aus. Diese sind für die Durchführung von Anti-VM- und Anti-Analyse-Prüfungen, die Umgehung der Windows-Benutzerkontensteuerung (UAC), die Deaktivierung von Windows- und Anwendungsbenachrichtigungen sowie das Herunterladen und Ausführen von RotBot verantwortlich.
RotBot ist so konfiguriert, dass es mit einem Telegram-Bot kommuniziert und die XClient-Stealer-Malware im Speicher abruft und ausführt. Dies erleichtert den Diebstahl von Cookies, Anmeldeinformationen und Finanzinformationen aus Webbrowsern wie Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera sowie von Discord- und Telegram-Daten und erfasst Screenshots.
Darüber hinaus ist XClient darauf ausgelegt, Daten aus den Facebook-, Instagram-, TikTok- und YouTube-Konten der Opfer zu extrahieren und Informationen über Zahlungsmethoden und Berechtigungen zu erhalten, die mit ihren Facebook-Geschäfts- und Werbekonten verbunden sind.
RotBot, eine angepasste Variante des Quasar RAT-Clients, wurde vom Bedrohungsakteur speziell für diese Kampagne angepasst und kompiliert. Darüber hinaus verfügt XClient über umfangreiche Möglichkeiten zum Informationsdiebstahl durch sein Plugin-Modul und verschiedene Funktionen zur Ausführung von Remote-Verwaltungsaufgaben.
Infostealer bleiben eine erhebliche Bedrohung und zielen auf zahlreiche Sektoren ab
Eine Malvertising-Kampagne auf Facebook nutzt den Hype um generative KI-Tools, um verschiedene Informationsdiebe wie Rilide, Vidar, IceRAT und eine neu aufgetretene Bedrohung namens Nova Stealer zu bewerben.
Der Angriff beginnt damit, dass der Bedrohungsakteur die Kontrolle über ein bestehendes Facebook-Konto übernimmt und dessen Erscheinungsbild so verändert, dass es beliebten KI-Tools von Google, OpenAI und Midjourney ähnelt. Er weitet seinen Einfluss aus, indem er auf der Plattform gesponserte Werbung schaltet.
So hatte beispielsweise eine gefälschte Seite, die sich als Midjourney ausgab, 1,2 Millionen Follower, bevor sie am 8. März 2023 geschlossen wurde. Die Personen hinter diesen Seiten befanden sich hauptsächlich in Vietnam, den USA, Indonesien, Großbritannien und Australien, um nur einige zu nennen.
Diese Malvertising-Kampagnen nutzen Metas gesponsertes Anzeigensystem, um eine umfassende Reichweite zu erzielen und gezielt europäische Benutzer in Ländern wie Deutschland, Polen, Italien, Frankreich, Belgien, Spanien, den Niederlanden, Rumänien, Schweden und darüber hinaus anzusprechen.
