Một nhóm hacker được cho là đến từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp dữ liệu doanh nghiệp.
tin tức hacker Cisco Talos, nhóm nghiên cứu bảo mật thuộc Cisco Systems (Mỹ), cho biết một phần mềm độc hại được thiết kế để thu thập dữ liệu tài chính ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5/2023 đến nay.
Cisco Talos gọi chiến dịch là CoralRaider và cho biết: “Nhóm tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo.”
Tin tặc đã sử dụng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện cuộc tấn công. Nhóm này sử dụng một số công cụ khác nhau, kết hợp với trojan truy cập từ xa và các phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc còn sử dụng một số phần mềm được thiết kế để đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare.
Thông tin bị đánh cắp được thu thập qua Telegram và sau đó được giao dịch trên thị trường ngầm để thu lợi bất hợp pháp. Cisco Talos phân tích: “Dựa trên tin nhắn trong các kênh trò chuyện Telegram, tùy chọn ngôn ngữ và cách đặt tên bot, chuỗi PDB (trình gỡ lỗi) và từ khóa tiếng Việt được mã hóa cứng trong tệp, tin tặc có khả năng sẽ khai thác CoralRaider từ Việt Nam”.
Các cuộc tấn công thường bắt đầu bằng việc chiếm quyền kiểm soát tài khoản Facebook, sau đó đổi tên và chỉnh sửa giao diện mạo danh các chatbot AI nổi tiếng của Google, OpenAI và Midjourney. Tin tặc thậm chí còn chạy quảng cáo để tiếp cận nạn nhân, dụ người dùng đến các trang web giả mạo. Một tài khoản Midjourney giả có 1,2 triệu người theo dõi trước khi bị xóa vào giữa năm 2023.
Các chuyên gia đã mô phỏng một cuộc tấn công bắt đầu bằng một tệp độc hại đang mở. Hacker sẽ cài đặt một file ứng dụng HTML (HTA) và chiếm quyền điều khiển máy chủ của nạn nhân. Từ đó tập lệnh Visual Basic được nhúng vào máy tính. Sau đó, tập lệnh tiến hành giải mã và thực thi ba tập lệnh PowerShell theo trình tự để đánh bại lớp bảo vệ trên máy nạn nhân. Thông báo của Windows và ứng dụng bị tắt. Dữ liệu bị đánh cắp, RotBot chạy.
RotBot được cấu hình để liên hệ với các bot Telegram và chạy phần mềm độc hại XClient trong bộ nhớ. Cuối cùng, thông tin cookie bị đánh cắp. Thu thập thông tin bảo mật và xác thực cho các trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera. XClient cũng được thiết kế để lấy dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Mã độc cũng thu thập thông tin chi tiết về phương thức thanh toán và quyền đối với quảng cáo Facebook và tài khoản doanh nghiệp của họ.
Công ty an ninh mạng Romania cho biết: “Chiến dịch quảng cáo độc hại đã có tác động rất lớn đến hệ thống quảng cáo của Meta. Từ đó, ngoài các nước châu Á, tin tặc còn tích cực tiếp cận các nạn nhân ở châu Âu và các khu vực khác”.
Giang Ya