Se ha observado que un presunto actor de amenazas de origen vietnamita ataca a víctimas en varios países asiáticos y del sudeste asiático con malware diseñado para recopilar datos valiosos desde al menos mayo de 2023. Cisco Talos está rastreando el clúster bajo el nombre CoralRaider y lo describe como motivado financieramente. Los objetivos de la campaña incluyen India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam. «Este grupo se centra en robar las credenciales de las víctimas, datos financieros y cuentas de redes sociales, incluidas cuentas comerciales y publicitarias», dijeron los investigadores de seguridad Chetan Raghuprasad y Joey Chen. «Usan RotBot, una variante personalizada de Quasar RAT, y XClient Stealer como cargas útiles». Otro malware básico utilizado por el grupo comprende una combinación de troyanos de acceso remoto y ladrones de información como AsyncRAT, NetSupport RAT y Rhadamanthys. El objetivo de cuentas comerciales y publicitarias ha sido un foco particular para los atacantes que operan desde Vietnam, con varias familias de malware ladrón como Ducktail, NodeStealer y VietCredCare implementadas para tomar el control de las cuentas para una mayor monetización. El modus operandi implica el uso de Telegram para extraer la información robada de las máquinas de las víctimas, que luego se comercializa en mercados clandestinos para generar ingresos ilícitos. «Los operadores de CoralRaider tienen su sede en Vietnam, según los mensajes de los actores en sus canales de bots de Telegram C2 y la preferencia de idioma al nombrar sus bots, cadenas PDB y otras palabras vietnamitas codificadas en sus binarios de carga útil», dijeron los investigadores. Las cadenas de ataques comienzan con un archivo de acceso directo de Windows (LNK), aunque actualmente no hay una explicación clara sobre cómo se distribuyen estos archivos a los objetivos. Si se abre el archivo LNK, se descarga y ejecuta un archivo de aplicación HTML (HTA) desde un servidor de descarga controlado por el atacante, que, a su vez, ejecuta un script de Visual Basic integrado. El script, por su parte, descifra y ejecuta secuencialmente otros tres scripts de PowerShell que se encargan de realizar comprobaciones anti-VM y anti-análisis, eludir el control de acceso de usuarios (UAC) de Windows, deshabilitar las notificaciones de aplicaciones y Windows, y descargar y ejecutar RotBot. RotBot está configurado para contactar a un bot de Telegram y recuperar el malware ladrón XClient y ejecutarlo en la memoria, lo que en última instancia facilita el robo de cookies, credenciales e información financiera de navegadores web como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, y Ópera; Datos de Discord y Telegram; y capturas de pantalla. XClient también está diseñado para extraer datos de las cuentas de Facebook, Instagram, TikTok y YouTube de las víctimas, recopilando detalles sobre los métodos de pago y permisos asociados con sus cuentas comerciales y publicitarias de Facebook. «RotBot es una variante del cliente Quasar RAT que el actor de amenazas ha personalizado y compilado para esta campaña», dijeron los investigadores. «[XClient] tiene una amplia capacidad de robo de información a través de su módulo de complemento y varios módulos para realizar tareas administrativas remotas». El desarrollo se produce cuando Bitdefender reveló detalles de una campaña de publicidad maliciosa en Facebook que está aprovechando los rumores que rodean a las herramientas de inteligencia artificial generativa para impulsar una variedad de ladrones de información. como Rilide, Vidar, IceRAT y un nuevo participante conocido como Nova Stealer. El punto de partida del ataque es que el actor de amenazas se apodera de una cuenta de Facebook existente y modifica su apariencia para imitar herramientas de inteligencia artificial conocidas de Google, OpenAI y Midjourney. y ampliar su alcance mediante la publicación de anuncios patrocinados en la plataforma. Una de ellas es la página impostora que se hace pasar por Midjourney que tenía 1,2 millones de seguidores antes de ser eliminada el 8 de marzo de 2023. Los actores de amenazas que administraban la página eran principalmente de Vietnam, EE. UU. e Indonesia. , el Reino Unido y Australia, entre otros. «Las campañas de publicidad maliciosa tienen un enorme alcance a través del sistema de anuncios patrocinados de Meta y se han dirigido activamente a usuarios europeos de Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumania, Suecia y en otros lugares», afirmó la empresa rumana de ciberseguridad. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link