แฮกเกอร์ชาวเวียดนามต้องสงสัยเป็นผู้วางแผนก่อเหตุวุ่นวายในเอเชีย

ข้อมูลข้างต้นนี้ได้รับการรายงานโดย The Hacker News โดยอ้างแถลงการณ์จากกลุ่มวิจัยด้านความปลอดภัย Cisco Talos ซึ่งเป็นส่วนหนึ่งของ Cisco Corporation (สหรัฐอเมริกา)

"เราตรวจพบมัลแวร์ที่ออกแบบมาเพื่อรวบรวมข้อมูลทางการเงินในอินเดีย จีน เกาหลีใต้ บังกลาเทศ ปากีสถาน อินโดนีเซีย และเวียดนามตั้งแต่เดือนพฤษภาคม 2023" ทีมงานด้านความปลอดภัยของ Cisco Talos เปิดเผย

แคมเปญโจมตีโดยกลุ่มแฮกเกอร์ที่เรียกว่า CoralRaider "มุ่งเน้นไปที่ข้อมูลประจำตัวของเหยื่อ ข้อมูลทางการเงิน และบัญชีโซเชียลมีเดีย รวมถึงบัญชีธุรกิจและโฆษณา"

Cisco Talos อธิบายว่าผู้โจมตีใช้ RotBot ซึ่งเป็นโปรแกรมที่ปรับแต่งมาจาก Quasar RAT และ XClient เพื่อดำเนินการโจมตี นอกจากนี้ ผู้โจมตียังใช้เครื่องมือต่างๆ มากมาย รวมถึงโทรจันสำหรับการเข้าถึงระยะไกลและมัลแวร์อื่นๆ เช่น AsyncRAT, NetSupport RAT, Rhadamanthys นอกจากนี้ ผู้โจมตียังใช้ซอฟต์แวร์ขโมยข้อมูลเฉพาะทางต่างๆ เช่น Ducktail, NodeStealer และ VietCredCare อีกด้วย

ข้อมูลที่ขโมยมาได้ถูกรวบรวมผ่าน Telegram ซึ่งแฮกเกอร์นำไปซื้อขายในตลาดใต้ดินเพื่อแสวงหากำไรที่ผิดกฎหมาย

Cisco Talos แสดงความคิดเห็นว่า "จากข้อความในช่องแชทของ Telegram การตั้งค่าภาษา และการตั้งชื่อบอท สตริงดีบักเกอร์ (PDB) มีคีย์เวิร์ดภาษาเวียดนามที่เข้ารหัสแบบฮาร์ดโค้ดในไฟล์ เป็นไปได้ว่าแฮกเกอร์ที่ใช้ประโยชน์จาก CoralRaider อาจมาจากเวียดนาม"

Tin tặc có nguồn gốc từ Việt Nam bị tình nghi đánh cắp dữ liệu tài chính ở châu Á. Ảnh minh hoạ: The Hacker News — แฮกเกอร์จากเวียดนามต้องสงสัยขโมยข้อมูลทางการเงินในเอเชีย ภาพประกอบ: The Hacker News

การโจมตีมักเริ่มต้นด้วยการควบคุมบัญชี Facebook จากนั้นแฮกเกอร์จะเปลี่ยนชื่อและอินเทอร์เฟซเพื่อปลอมตัวเป็นแชทบอต AI ชื่อดังจาก Google, OpenAI หรือ Midjourney

แฮกเกอร์ยังลงโฆษณาเพื่อเข้าถึงเหยื่อเพื่อล่อผู้ใช้ให้ไปที่เว็บไซต์ปลอม บัญชี Midjourney ปลอมบัญชีหนึ่งมีผู้ติดตาม 1.2 ล้านคนก่อนที่จะถูกปิดในช่วงกลางปี 2023

เมื่อข้อมูลถูกขโมย RotBot จะถูกกำหนดค่าให้ติดต่อกับบ็อต Telegram และรันมัลแวร์ XClient ในหน่วยความจำ ข้อมูลด้านความปลอดภัยและการรับรองความถูกต้องบนเว็บเบราว์เซอร์ เช่น Brave, Coc Coc, Google Chrome, Microsoft Edge, Mozilla Firefox และ Opera จะถูกรวบรวม

นอกจากนี้ XClient ยังได้รับการออกแบบมาเพื่อดึงข้อมูลจากบัญชี Facebook, Instagram, TikTok และ YouTube ของเหยื่ออีกด้วย นอกจากนี้ มัลแวร์ยังรวบรวมรายละเอียดเกี่ยวกับวิธีการชำระเงินและการอนุญาตที่เกี่ยวข้องกับบัญชีโฆษณา Facebook และธุรกิจของพวกเขาอีกด้วย

“แคมเปญโฆษณาที่เป็นอันตรายมีการเข้าถึงได้อย่างมากผ่านระบบโฆษณาของ Meta จากนั้นแฮกเกอร์ก็เข้าหาเหยื่ออย่างแข็งขันทั่วทั้งยุโรป ไม่ว่าจะเป็นเยอรมนี โปแลนด์ อิตาลี ฝรั่งเศส เบลเยียม สเปน เนเธอร์แลนด์ โรมาเนีย สวีเดน และที่อื่นๆ นอกเหนือจากประเทศในเอเชีย” แหล่งข่าวเน้นย้ำ

ที่มา: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm