Grève des hackers vietnamiens : CoralRaider cible les comptes asiatiques

Publié le: 6 avril 2024

Cisco Talos, une société de technologie de cybersécurité et de sécurité de l'information basée dans le Maryland, a récemment découvert une nouvelle cybermenace baptisée « CoralRaider », qui proviendrait du Vietnam et serait motivée par un gain financier.

Depuis 2023 environ, CoralRaider cible des individus dans divers pays d'Asie et d'Asie du Sud-Est, notamment l'Inde, le Bangladesh, la Chine, le Vietnam, la Corée du Sud, l'Indonésie et d'autres.

Pour mener à bien leurs projets, CoralRaider utilise des outils sophistiqués comme RotBot, une version modifiée de QuasarRAT et XClient Steerer. De plus, ils utilisent une technique appelée « dead drop », utilisant des services légitimes pour dissimuler leurs fichiers malveillants, ainsi que des programmes peu courants tels que Forfiles.exe et FoDHelper.exe pour échapper à la détection.

L'attaque suit un processus simple :

1. L'utilisateur ouvre un fichier de raccourci Windows malveillant
2. Le fichier télécharge et exécute un fichier d'application HTML (HTA) à partir d'un serveur de téléchargement contrôlé par un attaquant.
3. Le HTA active un script Visual Basic intégré qui exécute un script PowerShell dans la mémoire
4. Le script PowerShell en lance 3 autres qui contournent les contrôles d'accès des utilisateurs, effectuent des contrôles anti-VM et anti-analyse et désactivent les notifications Windows.
5. Enfin, il télécharge et exécute RotBot, qui charge le voleur XClient.

Le groupe utilise XClient pour voler de nombreux types de données personnelles, notamment des comptes de réseaux sociaux (y compris ceux utilisés à des fins commerciales et publicitaires), des informations d'identification et des données financières. Ces données sont ensuite utilisées à des fins financières, notamment pour la vente à d'autres acteurs malveillants.

« Nous avons trouvé quelques groupes Telegram en vietnamien nommés « Kiém tien tử Facebook », « Mua Bán Scan MINI » et « Mua Bán Scan Meta ». » Cisco Talos a déclaré. "La surveillance de ces groupes a révélé qu'il s'agissait de marchés clandestins où, entre autres activités, les données des victimes étaient échangées."

La découverte de CoralRaider met en évidence la nature en constante évolution des cybermenaces, notamment concernant la cybercriminalité financière. En mettant l’accent sur le vol d’informations sensibles, ce groupe présente un risque important tant pour les individus que pour les organisations.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/