Malware RotBot
Se ha identificado que un grupo que se cree se originó en Vietnam ataca a personas de varias naciones asiáticas y del Sudeste Asiático con software amenazante destinado a extraer información valiosa desde al menos mayo de 2023. Conocidos como CoralRaider, los expertos en ciberseguridad siguen de cerca esta operación y señalan sus motivos financieros. Los puntos focales de la campaña incluyen India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam.
Este sindicato cibercriminal se especializa en robar credenciales, registros financieros y perfiles de redes sociales, abarcando cuentas tanto personales como comerciales. Su arsenal para este ataque en particular incluye RotBot, una versión personalizada de Quasar RAT y el ladrón XClient. Además, implementan una variedad de malware disponible en el mercado, como AsyncRAT , NetSupport RAT y Rhadamanthys , destinados a obtener acceso remoto y desviar información de sistemas comprometidos.
Tabla de contenido
Los ciberdelincuentes pretenden comprometer información confidencial de objetivos seleccionados
Los atacantes originarios de Vietnam han puesto un énfasis significativo en infiltrarse en cuentas comerciales y publicitarias, empleando una variedad de familias de malware ladrón como Ducktail , NodeStealer y VietCredCare para tomar el control de estas cuentas para su posterior monetización.
Su modus operandi implica la utilización de Telegram para transmitir la información robada de las máquinas de las víctimas, que luego se intercambia en mercados clandestinos para generar ganancias ilícitas.
La evidencia sugiere que los operadores de CoralRaider están ubicados en Vietnam, como lo indican los mensajes de los actores en sus canales de bots de Comando y Control (C2) de Telegram, así como su preferencia por el idioma vietnamita al nombrar sus bots, cadenas PDB y otros términos vietnamitas codificados dentro de sus binarios de carga útil.
Una cadena de infección de varias etapas genera la amenaza del malware RotBot
La secuencia de ataque comienza con un archivo de acceso directo de Windows (LNK), aunque el método de distribución a los objetivos aún no está claro. Al abrir el archivo LNK, se descarga y ejecuta un archivo de aplicación HTML (HTA) desde un servidor controlado por el atacante, ejecutando posteriormente un script de Visual Basic incorporado.
Este script, a su vez, descifra y ejecuta secuencialmente tres scripts de PowerShell adicionales responsables de realizar comprobaciones anti-VM y anti-análisis, eludir el control de acceso de usuarios (UAC) de Windows, desactivar las notificaciones de aplicaciones y Windows, y descargar y ejecutar RotBot.
RotBot está configurado para comunicarse con un bot de Telegram, recuperando y ejecutando el malware ladrón XClient en la memoria. Esto facilita el robo de cookies, credenciales e información financiera de navegadores web como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, así como datos de Discord y Telegram y capturas de pantalla.
Además, XClient está diseñado para extraer datos de las cuentas de Facebook, Instagram, TikTok y YouTube de las víctimas, obteniendo información sobre métodos de pago y permisos asociados con sus cuentas comerciales y publicitarias de Facebook.
RotBot, una variante personalizada del cliente Quasar RAT, ha sido adaptada y compilada específicamente para esta campaña por el actor de amenazas. Además, XClient cuenta con amplias capacidades de robo de información a través de su módulo de complemento y varias funcionalidades para ejecutar tareas administrativas remotas.
Los ladrones de información siguen siendo una amenaza considerable dirigida a numerosos sectores
Una campaña de publicidad maliciosa en Facebook está explotando el revuelo que rodea a las herramientas de inteligencia artificial generativa para promover varios ladrones de información como Rilide, Vidar, IceRAT y una amenaza recientemente surgida llamada Nova Stealer.
El ataque comienza cuando el actor de amenazas toma el control de una cuenta de Facebook existente y altera su apariencia para parecerse a las populares herramientas de inteligencia artificial de Google, OpenAI y Midjourney. Extienden su influencia publicando anuncios patrocinados en la plataforma.
Por ejemplo, una página falsificada que se hacía pasar por Midjourney acumuló 1,2 millones de seguidores antes de ser cerrada el 8 de marzo de 2023. Las personas detrás de estas páginas estaban ubicadas principalmente en Vietnam, Estados Unidos, Indonesia, Reino Unido y Australia, entre otros países.
Estas campañas de publicidad maliciosa aprovechan el sistema de anuncios patrocinados de Meta para lograr un amplio alcance, dirigiéndose activamente a usuarios europeos en países como Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumania, Suecia y más.
