Un presunto actor de amenazas de origen vietnamita ha estado atacando a víctimas en varios países asiáticos y del sudeste asiático desde mayo de 2023. Cisco Talos está rastreando el conglomerado con el nombre de CoralRaider, que se enfoca en robar credenciales, datos financieros y cuentas de redes sociales, incluyendo cuentas de negocios y publicidad. Los investigadores de seguridad descubrieron que utilizan RotBot, XClient stealer y Quasar RAT como cargas útiles personalizadas de malware. Además, también emplean AsyncRAT, NetSupport RAT y Rhadamanthys como ladrones de información y troyanos de acceso remoto.
El grupo ha destacado especialmente su interés en las cuentas de negocios y publicidad en Vietnam, utilizando malware ladrones como Ducktail, NodeStealer y VietCredCare para tomar el control de las cuentas y monetizarlas. Los operadores de CoralRaider tienen su base en Vietnam, según los mensajes del actor en sus canales de bot C2 de Telegram y la preferencia del idioma en la nomenclatura de sus bots, cadenas PDB y otras palabras vietnamitas codificadas en sus binarios de carga útil. La táctica consiste en utilizar Telegram para exfiltrar la información robada de las máquinas víctimas, que luego se negocia en los mercados clandestinos para generar ingresos ilícitos.
El LNK es el archivo de acceso directo de Windows utilizado para comenzar las cadenas de ataque, aunque no se sabe claramente cómo distribuyen estos archivos a las víctimas. Si el archivo LNK se abre, se descarga y ejecuta un archivo de aplicación de HTML (HTA) desde un servidor de descarga controlado por el atacante, que ejecuta un script Visual Basic incrustado. El script decodifica y ejecuta secuencialmente tres scripts de PowerShell que eluden los controles anti-VM y anti-análisis, deshabilitan las notificaciones de Windows y ejecutan RotBot.
RotBot está configurado para contactar un bot de Telegram y recuperar XClient, otro malware ladrón de información, para ejecutarlo en memoria. XClient extrae cookies, credenciales e información financiera de navegadores web como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, así como datos de Discord, Telegram, Facebook, Instagram, TikTok y YouTube de las víctimas. También recopila detalles sobre los métodos de pago y permisos asociados con sus cuentas de anuncios y negocios de Facebook.
En este contexto, Bitdefender ha revelado detalles de una campaña de malvertising en Facebook que utiliza la generación de inteligencia artificial para impulsar una variedad de ladrones de información, como Rilide, Vidar, IceRAT y una nueva entrada conocida como Nova Stealer. La causa del ataque es que los actores de amenazas se apoderan de una cuenta de Facebook existente y modifican su apariencia para imitar las herramientas de IA de Google, OpenAI y Midjourney y ampliar su alcance mediante la ejecución de anuncios patrocinados en la plataforma. Los actores de amenazas que gestionaban la página eran principalmente de Vietnam, EUA, Indonesia, Reino Unido y Australia, entre otros.
Las campañas de malvertising tienen un enorme alcance a través del sistema de anuncios patrocinados de Meta y han estado atacando activamente a los usuarios europeos de Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumanía, Suecia y otros lugares, según la empresa rumana de ciberseguridad.
Vía The Hacker News
