Об этом сообщает The Hacker News со ссылкой на заявление исследовательской группы по безопасности Cisco Talos, входящей в состав корпорации Cisco (США).
«Мы обнаружили вредоносное ПО, предназначенное для сбора финансовых данных в Индии, Китае, Южной Корее, Бангладеш, Пакистане, Индонезии и Вьетнаме с мая 2023 года», — сообщила группа безопасности Cisco Talos.
Атакующая кампания хакерской группы CoralRaider «была сосредоточена на учетных данных жертв, финансовых данных и аккаунтах в социальных сетях, включая корпоративные и рекламные аккаунты».
Cisco Talos описывает, что злоумышленники использовали RotBot, кастомизированный вариант Quasar RAT и XClient, для осуществления атак. Они также использовали различные инструменты, включая трояны удаленного доступа и другие вредоносные программы, такие как AsyncRAT, NetSupport RAT, Rhadamanthys. Кроме того, злоумышленники также использовали различные специализированные программы для кражи данных, такие как Ducktail, NodeStealer и VietCredCare.
Украденная информация собиралась через Telegram, а затем хакеры продавали ее на подпольном рынке, получая незаконную прибыль.
«Судя по сообщениям в чат-каналах Telegram, языковым предпочтениям и наименованию ботов, строка отладчика (PDB) имеет жестко закодированные вьетнамские ключевые слова в файле. Вполне возможно, что хакеры, эксплуатирующие CoralRaider, из Вьетнама», — прокомментировал Cisco Talos.
Хакеры из Вьетнама подозреваются в краже финансовых данных в Азии. Иллюстрация фото: The Hacker News
Атака обычно начинается с захвата контроля над аккаунтом Facebook. Затем хакеры меняют имя и интерфейс, чтобы выдавать себя за известных чат-ботов на основе искусственного интеллекта от Google, OpenAI или Midjourney.
Хакеры даже запускают рекламу, чтобы охватить жертв, заманивая пользователей на поддельные сайты. У одного поддельного аккаунта Midjourney было 1,2 миллиона подписчиков, прежде чем он был удален в середине 2023 года.
После кражи данных RotBot настраивается на связь с ботом Telegram и запуск вредоносного ПО XClient в памяти. Собирается информация о безопасности и аутентификации в веб-браузерах, таких как Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
XClient также предназначен для извлечения данных из аккаунтов жертв в Facebook, Instagram, TikTok и YouTube. Вредоносная программа также собирает данные о способах оплаты и разрешениях, связанных с их рекламными и бизнес-аккаунтами Facebook.
«Вредоносные рекламные кампании имели огромный охват через рекламную систему Meta. Оттуда хакеры активно обращались к жертвам по всей Европе, в том числе в Германии, Польше, Италии, Франции, Бельгии, Испании, Нидерландах, Румынии, Швеции и других странах, а также в странах Азии», — подчеркнул источник.
Источник: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm
![[Фото] Более 124 000 кандидатов в Ханое завершают процедуры подготовки к выпускному экзамену в средней школе 2025 года](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/25/fa62985b10464d6a943b58699098ae3f)
![[Фото] Первая тренировка в рамках подготовки к параду в честь 80-й годовщины Национального дня, 2 сентября.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/25/ebf0364280904c019e24ade59fb08b18)
![[Фото] Генеральный секретарь То Лам работает с Постоянным комитетом партийных комитетов провинций Куангбинь и Куангчи](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/25/6acdc70e139d44beaef4133fefbe2c7f)
Комментарий (0)