Vietnam Merkezli Bilgisayar Korsanları Kötü Amaçlı Yazılımla Asya'daki Finansal Verileri Çaldı
Vietnam kökenli olduğundan şüphelenilen bir tehdit aktörünün, en az Mayıs 2023'ten bu yana değerli verileri toplamak için tasarlanmış kötü amaçlı yazılımlarla birkaç Asya ve Güneydoğu Asya ülkesindeki kurbanları hedef aldığı gözlemlendi.
Cisco Talos, kümeyi CoralRaider adı altında izliyor ve bunu finansal olarak motive olarak tanımlıyor. Kampanyanın hedefleri arasında Hindistan, Çin, Güney Kore, Bangladeş, Pakistan, Endonezya ve Vietnam yer alıyor.
Güvenlik araştırmacıları Chetan Raghuprasad ve Joey Chen, "Bu grup, kurbanların kimlik bilgilerini, finansal verilerini ve iş ve reklam hesapları da dahil olmak üzere sosyal medya hesaplarını çalmaya odaklanıyor" dedi. "Yük olarak Quasar RAT'ın özelleştirilmiş bir çeşidi olan RotBot'u ve XClient hırsızını kullanıyorlar."
Grup tarafından kullanılan diğer ticari kötü amaçlı yazılımlar, uzaktan erişim truva atları ve AsyncRAT, NetSupport RAT ve Rhadamanthys gibi bilgi hırsızlarının bir kombinasyonunu içerir.
İş ve reklam hesaplarının hedef alınması, Vietnam dışında faaliyet gösteren saldırganlar için özellikle odak noktası olmuştur ve Ducktail, NodeStealer ve VietCredCare gibi çeşitli hırsız kötü amaçlı yazılım aileleri, daha fazla para kazanma için hesapların kontrolünü ele geçirmek üzere konuşlandırılmıştır.
Modus operandi, çalınan bilgileri kurban makinelerinden sızdırmak için Telegram'ın kullanılmasını ve daha sonra yasadışı gelir elde etmek için yeraltı pazarlarında alınıp satılmasını gerektirir.
Araştırmacılar, "CoralRaider operatörleri, Telegram C2 bot kanallarındaki aktör mesajlarına ve botlarını, PDB dizelerini ve yük ikili dosyalarında sabit kodlanmış diğer Vietnamca kelimeleri adlandırmadaki dil tercihlerine dayanarak Vietnam'da bulunuyor" dedi.
Saldırı zincirleri bir Windows kısayol dosyası (LNK) ile başlar, ancak şu anda bu dosyaların hedeflere nasıl dağıtıldığına dair net bir açıklama yoktur.
LNK dosyası açılırsa, bir HTML uygulaması (HTA) dosyası yüklenir ve saldırgan tarafından denetlenen bir indirme sunucusundan yürütülür ve bu sunucu da katıştırılmış bir Visual Basic komut dosyası çalıştırır.
Komut dosyası, kendi adına, VM önleme ve analiz önleme denetimleri gerçekleştirmekten, Windows Kullanıcı Erişim Denetimi'ni (UAC) atlatmaktan, Windows ve uygulama bildirimlerini devre dışı bırakmaktan ve RotBot'u indirip çalıştırmaktan sorumlu olan diğer üç PowerShell komut dosyasının şifresini çözer ve sırayla yürütür.
RotBot, bir Telegram botuyla iletişim kuracak ve XClient hırsız kötü amaçlı yazılımını alacak ve bellekte yürütecek şekilde yapılandırılmıştır ve sonuçta Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ve Opera gibi web tarayıcılarından çerezlerin, kimlik bilgilerinin ve finansal bilgilerin çalınmasını kolaylaştırır; Discord ve Telegram verileri; ve ekran görüntüleri.
XClient ayrıca kurbanların Facebook, Instagram, TikTok ve YouTube hesaplarından veri çekmek, Facebook işletme ve reklam hesaplarıyla ilişkili ödeme yöntemleri ve izinler hakkında ayrıntılı bilgi toplamak için tasarlanmıştır.
Araştırmacılar, "RotBot, tehdit aktörünün bu kampanya için özelleştirdiği ve derlediği Quasar RAT istemcisinin bir çeşididir" dedi. "[XClient], eklenti modülü ve uzaktan yönetim görevlerini gerçekleştirmek için çeşitli modüller aracılığıyla kapsamlı bilgi çalma yeteneğine sahiptir."
Gelişme, Bitdefender'ın Facebook'ta Rilide, Vidar, IceRAT ve Nova Stealer olarak bilinen yeni bir katılımcı gibi çeşitli bilgi hırsızlarını zorlamak için üretken yapay zeka araçlarını çevreleyen vızıltıdan yararlanan bir kötü amaçlı reklam kampanyasının ayrıntılarını açıklamasıyla geldi.
Saldırının başlangıç noktası, tehdit aktörünün mevcut bir Facebook hesabını ele geçirmesi ve görünümünü Google, OpenAI ve Midjourney'den iyi bilinen yapay zeka araçlarını taklit edecek şekilde değiştirmesi ve platformda sponsorlu reklamlar yayınlayarak erişimlerini genişletmesidir.
Midjourney kılığına girmiş böyle bir sahte sayfa, 8 Mart 2023'te kaldırılmadan önce 1,2 milyon takipçiye sahipti. Sayfayı yöneten tehdit aktörleri, diğerlerinin yanı sıra çoğunlukla Vietnam, ABD, Endonezya, İngiltere ve Avustralya'dandı.
Romen siber güvenlik şirketi, "Kötü amaçlı reklam kampanyaları, Meta'nın sponsorlu reklam sistemi aracılığıyla muazzam bir erişime sahip ve aktif olarak Almanya, Polonya, İtalya, Fransa, Belçika, İspanya, Hollanda, Romanya, İsveç ve başka yerlerden Avrupalı kullanıcıları hedefliyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı