Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вьетнамские хакеры крадут финансовые данные жителей Южной Азии

08/04/24

hack206-2

Согласно новому отчету Cisco Talos, вьетнамские хакеры с мая 2023 года распространяют новый инфостилер с целью заполучить финансовые данные. Кампания получила название CoralRaider и затронула жертв в Индии, Китае, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме.

Целью злоумышленников является кража учётных данных пользователей, финансовой информации и аккаунтов в социальных сетях, включая аккаунты для бизнеса и рекламы. Для достижения своих целей хакеры используют RotBot (модифицированный вариант трояна Quasar RAT) и инфостилер XClient. Также в арсенале атакующих присутствуют AsyncRAT, NetSupport RAT и Rhadamanthys. Об этом пишет Securitylab.

Особое внимание уделяется аккаунтам бизнеса и рекламы. После их кражи с помощью Ducktail и NodeStealer киберпреступники монетизируют учетные записи. Данные с компьютеров жертв экспортируются через Telegram и продаются на черном рынке.

Цепочка атаки начинается с распространения LNK-ярлыка. На данный момент специалисты не знают, как именно ярлыки доставляются на компьютеры жертв. Открытие LNK-файла приводит к загрузке и выполнению HTML-приложения (HTA) с сервера атакующих. Приложение запускает скрипты, отключающие систему безопасности и загружающие RotBot.

RotBot предназначен для установления связи с Telegram-ботом, доставки инфостилера XClient и выполнение его в памяти, что в конечном итоге приводит к созданию скриншотов, краже cookie-файлов, учетных данных и финансовой информации из различных браузеров, а также из Discord и Telegram.

XClient также предназначен для эксфильтрации данных из учетных записей жертв в Facebook*, Instagram*, TikTok и YouTube, собирая подробную информацию о способах оплаты и разрешениях, связанных с бизнес-аккаунтами и рекламными аккаунтами в Facebook.

Исследователи утверждают, что операторы CoralRaider базируются во Вьетнаме, что подтверждается сообщениями в их Telegram-каналах и предпочтением вьетнамского языка при именовании ботов и в коде вредоносных программ.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Темы:TelegramПреступленияCisco Talosхищение данныхАзия
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Опасные связи
    Популярные мессенджеры оказались под прицелом из-за нарушений конфиденциальности. Можно ли им доверять?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...