위 정보는 Cisco Corporation(미국)의 일부인 Cisco Talos 보안 연구 그룹의 성명을 인용해 The Hacker News 에서 보도한 내용입니다.
보안팀은 "2023년 5월부터 인도, 중국, 한국, 방글라데시, 파키스탄, 인도네시아, 베트남에서 금융 데이터를 수집하도록 설계된 맬웨어를 감지했습니다."라고 밝혔습니다. Cisco Talos Confidential Revealed.
CoralRaider라는 해커 그룹의 공격 캠페인은 "피해자의 신원 정보, 재무 데이터, 비즈니스 및 광고 계정을 포함한 소셜 미디어 계정에 초점을 맞췄습니다."
Cisco Talos는 해커가 Quasar RAT와 XClient의 맞춤형 변형인 RotBot을 사용하여 공격을 수행한다고 설명합니다. 또한 이들은 원격 액세스 트로이 목마와 AsyncRAT, NetSupport RAT, Rhadamanthys와 같은 다른 맬웨어를 포함한 다양한 도구를 사용합니다. 이 외에도 해커들은 Ducktail, NodeStealer, VietCredCare와 같은 여러 전문화된 데이터 도용 소프트웨어를 사용합니다.
도난당한 정보는 텔레그램을 통해 수집되었고, 해커들은 이를 지하 시장에서 불법적으로 거래하여 이익을 얻었습니다.
"Telegram 채팅 채널의 메시지, 언어 환경 설정 및 봇 이름을 기준으로 디버거 문자열(PDB)은 파일에 베트남어 키워드를 하드코딩했습니다. 해커가 CoralRaider를 악용하여 베트남에서 탈출했을 가능성이 있습니다." - Cisco Talos가 코멘트했습니다.
베트남 출신 해커들이 아시아에서 금융 데이터를 훔친 혐의를 받고 있습니다. 그림: The Hacker News
공격은 일반적으로 Facebook 계정을 장악하는 것으로 시작됩니다. 해커들은 Google, OpenAI 또는 Midjourney의 유명 AI 챗봇을 사칭하기 위해 이름과 인터페이스를 변경했습니다.
해커는 피해자에게 광고를 게재해 사용자를 속여 가짜 웹사이트를 방문하게 만들기도 합니다. 가짜 Midjourney 계정은 2023년 중반에 삭제되기 전까지 120만 명의 팔로워를 보유하고 있었습니다.
데이터가 도난당하면 RotBot은 Telegram 봇에 연락하여 메모리에서 XClient 맬웨어를 실행하도록 구성됩니다. Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera 등의 웹 브라우저에서 보안 및 인증 정보가 수집됩니다.
XClient는 피해자의 Facebook, Instagram, TikTok, YouTube 계정에서 데이터를 수집하도록 설계되었습니다. 이 맬웨어는 또한 Facebook 광고 및 비즈니스 계정과 관련된 결제 방법 및 권한에 대한 세부 정보를 수집합니다.
"악성 광고 캠페인은 Meta의 광고 시스템을 통해 엄청난 영향을 미쳤습니다. 그곳에서 해커들은 독일, 폴란드, 이탈리아, 프랑스, 벨기에, 스페인, 네덜란드, 루마니아, 스웨덴 및 기타 유럽 전역의 피해자들에게 적극적으로 접근했습니다. 아시아 국가들이라고 소식통은 강조했다.
[광고2]
출처: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Comment (0)