Vietnamlı Tehdit Aktörü Asya Genelindeki Finansal Verileri Hedefliyor

Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar

CoralRaider Ödeme Bilgilerini İçeren Sosyal Medya Hesaplarını Arıyor

Sayın Mihir (MihirBagwe) •
5 Nisan 2024

Vietnamlı finansal motivasyona sahip bilgisayar korsanları, çevrimiçi suç pazarlarında yeniden satmak üzere kurumsal kimlik bilgilerini ve finansal verileri toplamak için bir kampanyayla Asya genelindeki işletmeleri hedef alıyor.

Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?

Cisco Talos’taki araştırmacılar, CoralRaider’ın Hindistan, Çin, Güney Kore, Bangladeş, Pakistan, Endonezya’ya ve yerel hedeflere sızma kötü amaçlı yazılımlarıyla saldırması şeklinde izlenen bir dizi bilgisayar korsanlığı faaliyeti tespit etti.

Talos, grubun kökenini büyük bir güvenle Vietnam’a atfediyor ve bilgisayar korsanlarının Telegram komuta ve kontrol kanallarında Vietnamca kullandığına ve Vietnamca kelimeleri yük ikili dosyalarına sabit kodlanmış olarak kullandığına dikkat çekiyor. IP adresi Hanoi’ye kadar uzanıyor.

Bilgisayar korsanları, ödeme kartları gibi verileri içeren ticari sosyal medya hesaplarını arayan bir bilgi hırsızını indirmek için özelleştirilmiş bir uzaktan erişim aracı olan (Quasar RAT’ın bir çeşidi) RotBot’u kullanıyor.

Araştırmacılar, grubun “kurbanların kimlik bilgilerini, finansal verilerini ve iş ve reklam hesapları da dahil olmak üzere sosyal medya hesaplarını çalmaya odaklandığını” söyledi.

CoralRaider saldırısı, kullanıcıların kötü amaçlı bir Windows kısayol dosyasını açmasıyla başlar ve enfeksiyon zincirini tetikler. Talos, tehdit aktörünün dosyaları kurbanlara nasıl teslim ettiğinden emin olmadığını söyledi.

Etkinleştirilen LNK dosyası, bir Virtual Basic komut dosyasını çalıştıran bir HTML uygulama dosyasını indirir ve bu da bellekte bir PowerShell komut dosyasını çalıştırır “bu, anti-VM ve anti-analiz kontrolleri gerçekleştiren diğer üç PowerShell komut dosyasının şifresini çözer ve sırayla yürütür, Kullanıcı Erişimini atlar Kurbanın makinesindeki Windows ve uygulama bildirimlerini kontrol eder, devre dışı bırakır ve son olarak RotBot’u indirip çalıştırır.”

RotBot tarafından yüklenen XClient bilgi hırsızı, Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ve Opera’nın yanı sıra Discord ve Telegram gibi web tarayıcılarından çerezler, kimlik bilgileri ve finansal bilgiler dahil verileri toplar.

XClient ayrıca kurbanların Facebook, Instagram, TikTok ve YouTube hesaplarındaki verileri de hedef alıyor ve Facebook işletmeleri ve reklam hesaplarıyla ilişkili ödeme yöntemleri ve izinler hakkında ayrıntılar topluyor.