Pubblicato il: 6 aprile 2024

Cisco Talos, una società di tecnologia di sicurezza informatica e sicurezza informatica con sede nel Maryland, ha recentemente scoperto una nuova minaccia informatica denominata "CoralRaider", che si ritiene provenga dal Vietnam e sia guidata da guadagni finanziari.

Dal 2023 circa, CoralRaider ha preso di mira individui in vari paesi dell'Asia e del Sud-Est asiatico, tra cui India, Bangladesh, Cina, Vietnam, Corea del Sud, Indonesia e altri.

Per portare a termine i propri piani, CoralRaider utilizza strumenti sofisticati come RotBot, una versione modificata di QuasarRAT e XClient stealer. Inoltre, utilizzano una tecnica chiamata "dead drop", utilizzando servizi legittimi per nascondere i propri file dannosi, insieme a programmi non comuni come Forfiles.exe e FoDHelper.exe per eludere il rilevamento.

L’attacco segue un processo semplice:

1. L'utente apre un file di collegamento di Windows dannoso
2. Il file scarica ed esegue un file dell'applicazione HTML (HTA) da un server di download controllato dall'aggressore
3. L'HTA attiva uno script Visual Basic incorporato che esegue uno script PowerShell nella memoria
4. Lo script PowerShell ne avvia altri 3 che aggirano i controlli di accesso utente, eseguono controlli anti-VM e anti-analisi e disabilitano le notifiche di Windows
5. Infine, scarica ed esegue RotBot, che carica lo stealer XClient.

Il gruppo utilizza XClient per rubare molti tipi di dati personali, inclusi account di social media (compresi quelli utilizzati per affari e pubblicità), credenziali e dati finanziari. Questi dati vengono quindi utilizzati per guadagni finanziari, inclusa la vendita ad altri malintenzionati.

"Abbiamo trovato alcuni gruppi Telegram in vietnamita chiamati 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' e 'Mua Bán Scan Meta'. ", ha detto Cisco Talos. “Il monitoraggio di questi gruppi ha rivelato che si trattava di mercati sotterranei in cui, tra le altre attività, venivano scambiati i dati delle vittime”.

La scoperta di CoralRaider evidenzia la natura in continua evoluzione delle minacce informatiche, in particolare per quanto riguarda la criminalità informatica finanziaria. Concentrandosi sul furto di informazioni sensibili, questo gruppo rappresenta un rischio significativo sia per gli individui che per le organizzazioni.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/