Một tác nhân bị nghi ngờ là mối đe dọa gốc Việt đã được quan sát nhắm mục tiêu vào nạn nhân ở một số quốc gia châu Á và Đông Nam Á bằng phần mềm độc hại được thiết kế để thu thập dữ liệu có giá trị kể từ ít nhất là tháng 5/2023.
Cisco Talos đang theo dõi cụm dưới tên CoralRaider, mô tả nó có động cơ tài chính. Các mục tiêu của chiến dịch bao gồm Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam.
"Nhóm này tập trung vào việc đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản truyền thông xã hội của nạn nhân, bao gồm cả tài khoản kinh doanh và quảng cáo", các nhà nghiên cứu bảo mật Chetan Raghuprasad và Joey Chen cho biết. "Họ sử dụng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient stealer làm payload."
Các phần mềm độc hại hàng hóa khác được nhóm sử dụng bao gồm sự kết hợp của trojan truy cập từ xa và những kẻ đánh cắp thông tin như AsyncRAT, NetSupport RAT và Rhadamanthys.
Phương thức hoạt động đòi hỏi phải sử dụng Telegram để trích xuất thông tin bị đánh cắp từ các máy nạn nhân, sau đó được giao dịch tại các thị trường ngầm để tạo ra doanh thu bất hợp pháp.
"Các nhà khai thác CoralRaider có trụ sở tại Việt Nam, dựa trên các thông điệp diễn viên trong các kênh bot Telegram C2 của họ và sở thích ngôn ngữ trong việc đặt tên bot, chuỗi PDB và các từ tiếng Việt khác được mã hóa cứng trong tệp nhị phân tải trọng của họ", các nhà nghiên cứu cho biết.
Chuỗi tấn công bắt đầu bằng tệp lối tắt Windows (LNK), mặc dù hiện tại không có lời giải thích rõ ràng về cách các tệp này được phân phối đến các mục tiêu.
Nếu tệp LNK được mở, tệp ứng dụng HTML (HTA) được tải xuống và thực thi từ máy chủ tải xuống do kẻ tấn công kiểm soát, do đó, chạy tập lệnh Visual Basic được nhúng.
Về phần mình, tập lệnh giải mã và thực thi tuần tự ba tập lệnh PowerShell khác chịu trách nhiệm thực hiện kiểm tra chống VM và chống phân tích, phá vỡ Kiểm soát truy cập người dùng Windows (UAC), vô hiệu hóa Windows và thông báo ứng dụng, tải xuống và chạy RotBot.
RotBot được cấu hình để liên hệ với bot Telegram và truy xuất phần mềm độc hại đánh cắp XClient và thực thi nó trong bộ nhớ, cuối cùng tạo điều kiện cho việc đánh cắp cookie, thông tin đăng nhập và thông tin tài chính từ các trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera; Dữ liệu Discord và Telegram; và ảnh chụp màn hình.
XClient cũng được thiết kế để thu thập dữ liệu từ các tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân, thu thập thông tin chi tiết về các phương thức thanh toán và quyền được liên kết với tài khoản quảng cáo và doanh nghiệp trên Facebook của họ.
Một trang mạo danh giả mạo Midjourney có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào ngày 8/3/2023. Các thành viên quản trị trang chủ yếu đến từ Việt Nam, Hoa Kỳ, Indonesia, Anh và Úc, trong số những người khác.
"Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo được tài trợ của Meta và đã tích cực nhắm mục tiêu đến người dùng châu Âu từ Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và các nơi khác", công ty an ninh mạng Rumani cho biết.