The Hacker News đưa tin về tuyên bố từ nhóm nghiên cứu bảo mật Cisco Talos, một phần của tập đoàn Cisco (Mỹ).
Nhóm bảo mật Cisco Talos đã phát hiện một phần mềm độc hại được tạo ra để thu thập thông tin tài chính tại Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5-2023 đến hiện tại.
Chiến dịch tấn công của nhóm hacker có tên là CoralRaider "tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo".
Cisco Talos đã mô tả về việc tin tặc sử dụng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện các cuộc tấn công. Họ cũng sử dụng nhiều công cụ khác nhau, kết hợp cả mã độc tấn công truy cập từ xa và một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc còn sử dụng nhiều phần mềm chuyên đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare.
Dữ liệu đã bị đánh cắp được thu thập thông qua ứng dụng Telegram, sau đó tin tặc giao dịch trên thị trường ngầm để thu lợi một cách không đúng pháp luật.
Theo Cisco Talos, dựa trên thông điệp trong các kênh chat Telegram, việc tùy chọn ngôn ngữ và cách đặt tên cho bot, chuỗi trình gỡ lỗi (PDB) mã hóa cứng từ khóa tiếng Việt trong tệp tin. Có thể tin tặc khai thác CoralRaider đến từ Việt Nam.
Việc tấn công thường bắt đầu bằng việc tiếp cận và chiếm quyền quản lý tài khoản Facebook. Sau đó, tin tặc thường thay đổi tên, chỉnh sửa giao diện để giả mạo các chatbot AI nổi tiếng của Google, OpenAI hoặc Midjourney.
Kẻ tấn công mạng thậm chí sử dụng quảng cáo để tiếp cận người dùng, đánh lừa họ vào các trang web giả mạo. Một tài khoản giả mạo của Midjourney đã có 1,2 triệu người theo dõi trước khi bị xóa vào giữa năm 2023.
Khi dữ liệu bị đánh cắp, RotBot được thiết lập để kết nối với bot Telegram và thực thi phần mềm độc hại XClient trong bộ nhớ. Các thông tin bảo mật, xác thực trên trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera sẽ bị thu thập.
XClient được tạo ra để thu thập thông tin từ tài khoản Facebook, Instagram, TikTok và YouTube của người dùng. Ngoài ra, mã độc còn lấy thông tin chi tiết về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo, kinh doanh trên Facebook của họ.
Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo của Meta. Từ đó, tin tặc tích cực tiếp cận nạn nhân ở nhiều quốc gia châu Âu như Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và các quốc gia khác, cũng như các nước châu Á - nguồn tin nhấn mạnh.
