Cisco Talos сообщают об обнаружении нового финансово мотивированного злоумышленника CoralRaider, который действует как минимум с мая 2023 года, преследуя жертв в Индии, КНР, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме.
Группа занимается кражей учетных и финансовых данных, рекламных и бизнес-аккаунтов в соцсетях с использованием вредосного ПО: RotBot и стиллера XClient.
В числе других полезных нагрузок, используемых группой, представлена комбинация троянов удаленного доступа и похитителей информации: AsyncRAT, NetSupport RAT и Rhadamanthys.
Актор использует технику тупика, злоупотребляя законным сервисом для размещения файла конфигурации C2 и необычных двоичных файлов LoLBins, включая Windows Forfiles.exe и FoDHelper.exe.
Анализ показал, что злоумышленник использует Telegram-бота в качестве C2 для кражи данных жертвы с компьютеров жертв, которые затем реализуются в даркнете и специализированных группах в Telegram.
Цепочки атак начинаются с файла ярлыка Windows (LNK), хотя на данный момент нет четкого объяснения того, как эти файлы распространяются по целям.
Если файл LNK открыт, файл HTML-приложения (HTA) загружается и выполняется с сервера загрузки, контролируемого злоумышленником, который, в свою очередь, запускает встроенный сценарий Visual Basic.
Скрипт расшифровывает и последовательно выполняет три других PowerShell-скрипта, которые отвечают за выполнение проверок, обход Windows (UAC), отключение уведомлений и приложений, а также загрузку и запуск RotBot.
RotBot — это вариант клиента Quasar RAT, который злоумышленник настроил и скомпилировал для этой кампании.
Он настроен на связь с ботом Telegram, доставку XClient и выполнение его в памяти, что в конечном итоге обеспечивает кражу cookie, кред и финансовой информации из браузеров Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera, а также данных Discord и Telegram.
XClient также способен извлекать подробную информацию о способах оплаты из учетных записей жертв в Facebook, Instagram, TikTok и YouTube, в том числе связанных с бизнес и рекламными аккаунтами.
Основываясь на аналитике по Telegram, языковых предпочтениях и замеченных IP (в Ханое), исследователи Cisco Talos с высокой степенью уверенности полагают, что CoralRaider базируются во Вьетнаме.
Дополнительные технические подробности цепочки атак вскрытой кампании можно также найти в отчете QiAnXin Threat Intelligence Center.
Группа занимается кражей учетных и финансовых данных, рекламных и бизнес-аккаунтов в соцсетях с использованием вредосного ПО: RotBot и стиллера XClient.
В числе других полезных нагрузок, используемых группой, представлена комбинация троянов удаленного доступа и похитителей информации: AsyncRAT, NetSupport RAT и Rhadamanthys.
Актор использует технику тупика, злоупотребляя законным сервисом для размещения файла конфигурации C2 и необычных двоичных файлов LoLBins, включая Windows Forfiles.exe и FoDHelper.exe.
Анализ показал, что злоумышленник использует Telegram-бота в качестве C2 для кражи данных жертвы с компьютеров жертв, которые затем реализуются в даркнете и специализированных группах в Telegram.
Цепочки атак начинаются с файла ярлыка Windows (LNK), хотя на данный момент нет четкого объяснения того, как эти файлы распространяются по целям.
Если файл LNK открыт, файл HTML-приложения (HTA) загружается и выполняется с сервера загрузки, контролируемого злоумышленником, который, в свою очередь, запускает встроенный сценарий Visual Basic.
Скрипт расшифровывает и последовательно выполняет три других PowerShell-скрипта, которые отвечают за выполнение проверок, обход Windows (UAC), отключение уведомлений и приложений, а также загрузку и запуск RotBot.
RotBot — это вариант клиента Quasar RAT, который злоумышленник настроил и скомпилировал для этой кампании.
Он настроен на связь с ботом Telegram, доставку XClient и выполнение его в памяти, что в конечном итоге обеспечивает кражу cookie, кред и финансовой информации из браузеров Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera, а также данных Discord и Telegram.
XClient также способен извлекать подробную информацию о способах оплаты из учетных записей жертв в Facebook, Instagram, TikTok и YouTube, в том числе связанных с бизнес и рекламными аккаунтами.
Основываясь на аналитике по Telegram, языковых предпочтениях и замеченных IP (в Ханое), исследователи Cisco Talos с высокой степенью уверенности полагают, что CoralRaider базируются во Вьетнаме.
Дополнительные технические подробности цепочки атак вскрытой кампании можно также найти в отчете QiAnXin Threat Intelligence Center.