上記の情報は、シスコ社（米国）傘下のセキュリティ研究グループ「Cisco Talos」の声明を引用して、 The Hacker Newsが報じたものです。

「2023年5月以降、インド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムで金融データを収集するように設計されたマルウェアを検出しました」とシスコのタロスセキュリティチームは明らかにした。

CoralRaiderと呼ばれるハッカー集団による攻撃活動は、「被害者の認証情報、財務データ、ビジネスアカウントや広告アカウントを含むソーシャルメディアアカウントに重点を置いた」ものだった。

Cisco Talos は、ハッカーが攻撃を実行するために Quasar RAT と XClient のカスタマイズされた変種である RotBot を使用していると説明しています。また、リモート アクセス トロイの木馬や、AsyncRAT、NetSupport RAT、Rhadamanthys などのマルウェアを含むさまざまなツールも使用します。さらに、ハッカーは、Ducktail、NodeStealer、VietCredCare などの多くの特殊なデータ窃盗ソフトウェアも使用します。

盗まれた情報はTelegramを通じて収集され、ハッカーらはそれを闇市場で取引して不法な利益を得ていた。

「Telegram チャット チャンネルのメッセージ、言語設定、ボットの命名に基づいて、デバッガー文字列 (PDB) はファイル内のベトナム語のキーワードをハードコードしました。CoralRaider を悪用しているハッカーはベトナム出身である可能性があります」と Cisco Talos はコメントしました。

攻撃は通常、Facebook アカウントの制御権を奪うことから始まります。その後、ハッカーは名前とインターフェースを変更し、Google、OpenAI、Midjourney などの有名な AI チャットボットを偽装しました。

ハッカーは被害者にアプローチするために広告を掲載し、ユーザーを騙して偽のウェブサイトを訪問させることもあります。偽のミッドジャーニーアカウントは、2023年半ばに削除されるまで120万人のフォロワーを抱えていた。

データが盗まれると、RotBot は Telegram ボットに接続し、メモリ内で XClient マルウェアを実行するように設定されます。 Brave、Coc Coc、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera などの Web ブラウザのセキュリティ情報と認証情報が収集されます。

XClient は、被害者の Facebook、Instagram、TikTok、YouTube アカウントからデータを収集するようにも設計されています。このマルウェアは、Facebook の広告やビジネス アカウントに関連する支払い方法や権限に関する詳細も収集します。

「悪質な広告キャンペーンはメタの広告システムを通じて広範囲に及んでいる。そこからハッカーたちは、アジア諸国に加え、ドイツ、ポーランド、イタリア、フランス、ベルギー、スペイン、オランダ、ルーマニア、スウェーデンなどヨーロッパ各地の被害者に積極的にアプローチしている」と情報筋は強調した。