越南黑客抢劫亚洲:Telegram 成为网络犯罪分子的市场

阅读量50668

发布时间 : 2024-04-07 11:34:59

根据 Cisco Talos 的一份新报告 ,越南黑客自 2023 年 5 月以来一直在分发新的信息窃取程序,以获取财务数据。该活动名为 CoralRaider,影响了印度、中国、韩国、孟加拉国、巴基斯坦、印度尼西亚和越南的受害者。

攻击者的目标是窃取用户凭证、财务信息和社交媒体帐户,包括商业和广告帐户。为了实现他们的目标,黑客使用 RotBot(Quasar RAT 木马的修改版本)和 XClient 信息窃取程序。攻击者的武器库中还有 AsyncRAT、NetSupport RAT 和 Rhadamanthys。

特别关注商业和广告帐户。网络犯罪分子使用 Ducktail 和 NodeStealer 窃取账户后,利用这些账户获利。受害者计算机的数据通过 Telegram 导出并在黑市上出售。

CoralRaider感染链

攻击链从 LNK 快捷方式的分发开始。目前,专家们还不知道快捷方式到底是如何传送到受害者的计算机上的。打开 LNK 文件会导致从攻击者的服务器下载并执行 HTML 应用程序 (HTA)。该应用程序运行禁用安全系统并加载 RotBot 的脚本。

RotBot 旨在与 Telegram 机器人进行通信,提供 XClient 信息窃取程序,并在内存中执行它,最终导致从各种浏览器以及 Discord 和 Telegram 中截取屏幕截图、窃取 cookie、凭证和财务信息。

XClient 还旨在从受害者的 Facebook*、Instagram*、TikTok 和 YouTube 帐户中窃取数据,收集有关与企业和 Facebook 广告帐户相关的支付方式和权限的详细信息。

研究人员声称,CoralRaider 运营商的总部位于越南,这一点通过他们的 Telegram 频道中的消息以及在命名机器人和恶意软件代码时对越南语的偏好得到了证实。

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/547292.php

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66