Об этом сообщает The Hacker News со ссылкой на заявление исследовательской группы по безопасности Cisco Talos, входящей в состав корпорации Cisco (США).
«Мы обнаружили вредоносное ПО, предназначенное для сбора финансовых данных в Индии, Китае, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме с мая 2023 года», — заявила группа безопасности. Раскрыта конфиденциальная информация Cisco Talos.
Атакующая кампания хакерской группы CoralRaider «была сосредоточена на учетных данных жертв, финансовых данных и аккаунтах в социальных сетях, включая бизнес-аккаунты и рекламные аккаунты».
Cisco Talos описывает хакеров, использующих RotBot, модифицированный вариант Quasar RAT и XClient, для осуществления атак. Они также используют различные инструменты, включая трояны удаленного доступа и другие вредоносные программы, такие как AsyncRAT, NetSupport RAT, Rhadamanthys. Кроме того, хакеры также используют множество специализированных программ для кражи данных, таких как Ducktail, NodeStealer и VietCredCare.
Украденная информация собиралась через Telegram, а затем хакеры продавали ее на подпольном рынке с целью получения незаконной прибыли.
«Судя по сообщениям в чат-каналах Telegram, языковым предпочтениям и наименованию ботов, строка отладчика (PDB) жестко закодировала вьетнамские ключевые слова в файле. Возможно, хакеры использовали CoralRaider из Вьетнама», — прокомментировал Cisco Talos.
Хакеры из Вьетнама подозреваются в краже финансовых данных в Азии. Иллюстрация: Hacker News
Атака обычно начинается с захвата контроля над аккаунтом Facebook. Затем хакеры изменили название и интерфейс, чтобы выдать себя за известных чат-ботов на основе искусственного интеллекта от Google, OpenAI или Midjourney.
Хакеры даже запускают рекламу, чтобы привлечь жертв, обманывая пользователей и заставляя их посещать поддельные веб-сайты. У фейкового аккаунта Midjourney было 1,2 миллиона подписчиков, прежде чем он был удален в середине 2023 года.
После кражи данных RotBot настраивается на связь с ботом Telegram и запуск вредоносного ПО XClient в памяти. Собирается информация о безопасности и аутентификации в таких веб-браузерах, как Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
XClient также предназначен для сбора данных из аккаунтов жертв Facebook, Instagram, TikTok и YouTube. Вредоносная программа также собирает данные о способах оплаты и разрешениях, связанных с рекламными и бизнес-аккаунтами пользователей Facebook.
«Вредоносные рекламные кампании имели огромный охват через рекламную систему Meta. Оттуда хакеры активно обращались к жертвам по всей Европе, например, в Германии, Польше, Италии, Франции, Бельгии, Испании, Нидерландах, Румынии, Швеции и других странах, в дополнение к Азиатские страны», — подчеркнул источник.
Источник: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
Comment (0)