Um grupo recém-chegado de crimes cibernéticos ligado ao Vietname tem como alvo indivíduos e organizações na Ásia, tentando roubar informações de contas de redes sociais e dados de utilizadores.
CoralRaider, que apareceu pela primeira vez no final de 2023, depende fortemente de engenharia social e serviços legítimos para exfiltração de dados, e desenvolve ferramentas personalizadas para carregar malware nos sistemas das vítimas. No entanto, o grupo também cometeu alguns erros de iniciante, como infectar inadvertidamente seus próprios sistemas, o que expôs suas atividades, afirmaram pesquisadores de ameaças do grupo de inteligência de ameaças Talos da Cisco em uma nova análise no CoralRaider.
Embora o Vietname se tenha tornado cada vez mais activo em operações cibernéticas, este grupo não parece estar a trabalhar com o governo, diz Chetan Raghuprasad, líder técnico de investigação de segurança do grupo Talos da Cisco.
“A principal prioridade é o ganho financeiro, e o ator está tentando sequestrar o negócio de mídia social e as contas de publicidade da vítima”, diz ele. “A exposição potencial a ataques subsequentes, incluindo a distribuição de outros malwares, também é possível. Nossa pesquisa não viu nenhum exemplo de outras cargas sendo entregues.”
Os atores da ameaça do Vietname concentram-se frequentemente nas redes sociais. O infame grupo OceanLotus – também conhecido como APT32 – atacou outros governos, dissidentes e jornalistas em países do Sudeste Asiático, incluindo o Vietname. Um grupo militar associado, a Força 47 — ligada à estação de televisão oficial do exército vietnamita — regularmente tenta influenciar grupos de mídia social.
CoralRaider, no entanto, parece estar ligado a motivos de lucro e não a agendas nacionalistas.
“Neste momento, não temos nenhuma evidência ou informação sobre sinais de CoralRaider trabalhando com o governo vietnamita”, disse Raghuprasad.
Cadeia de infecção em vários estágios
Uma campanha CoralRaider normalmente começa com um arquivo de atalho do Windows (.LNK), geralmente usando uma extensão .PDF na tentativa de enganar a vítima para que abra os arquivos, de acordo com a análise da Cisco. Depois disso, os atacantes passam por uma série de estágios em seu ataque:
-
O atalho do Windows baixa e executa um arquivo de aplicativo HTML (HTA) de um servidor controlado por um invasor
-
O arquivo HTA executa um script Visual Basic incorporado
-
O script VB executa um script do PowerShell, que então executa mais três scripts do PowerShell, incluindo uma série de verificações anti-análise para detectar se a ferramenta está sendo executada em uma máquina virtual, um desvio para os controles de acesso do usuário do sistema e um código que desativa quaisquer notificações para o usuário
-
O script final executa o RotBot, um carregador que executa evasão de detecção, realiza reconhecimento no sistema e baixa um arquivo de configuração
-
O RotBot normalmente baixa o XClient, que coleta uma variedade de dados do usuário do sistema, incluindo credenciais de contas de mídia social
Além das credenciais, o XClient também rouba dados do navegador, informações de contas de cartão de crédito e outros dados financeiros. E por último, o XClient tira uma captura de tela da área de trabalho da vítima e a carrega.
Entretanto, os investigadores dizem que há indicações de que os agressores também tinham como alvo indivíduos no Vietname.
“A função ladrão [XClient] mapeia as informações da vítima roubada para palavras vietnamitas codificadas e as grava em um arquivo de texto na pasta temporária da máquina da vítima antes da exfiltração”, afirmou a análise. “Um exemplo de função que observamos é usado para roubar a conta de anúncios do Facebook da vítima que contém palavras vietnamitas codificadas para direitos da conta, limite, gasto, fuso horário e data de criação.”
O grupo CoralRaider usou um bot automatizado no serviço Telegram como canal de comando e controle e também para exfiltrar dados dos sistemas das vítimas. No entanto, o grupo cibercriminoso parece ter infectado uma de suas próprias máquinas, porque os pesquisadores da Cisco descobriram capturas de tela das informações postadas no canal.
“Analisando as imagens da área de trabalho do ator no bot do Telegram, encontramos alguns grupos do Telegram em vietnamita chamados 'Kiém tien tử Facebook, 'Mua Bán Scan MINI' e 'Mua Bán Scan Meta'”, afirmou Cisco Talos na análise . “O monitoramento desses grupos revelou que se tratavam de mercados clandestinos onde, entre outras atividades, eram negociados dados de vítimas.”
A chegada do CoralRaider ao cenário das ameaças cibernéticas não é surpreendente: o Vietnã enfrenta atualmente um aumento nas ameaças de malware para roubo de contas, diz Sakshi Grover, gerente de pesquisa do grupo de Serviços de Segurança Cibernética da IDC para a região da Ásia/Pacífico.
“Embora historicamente menos associado ao crime cibernético em comparação com outras nações asiáticas, a rápida adoção de tecnologias digitais pelo Vietname tornou-o mais suscetível a ameaças cibernéticas”, afirma ela. “Ameaças persistentes avançadas (APTs) têm como alvo cada vez mais entidades governamentais, infraestruturas críticas e empresas, utilizando técnicas sofisticadas como malware personalizado e engenharia social para se infiltrar em sistemas e roubar dados confidenciais.”
Dado que as condições económicas variam no Vietname – com algumas áreas a registarem oportunidades de emprego limitadas, o que resulta em salários baixos para funções altamente qualificadas – os indivíduos podem ser incentivados a praticar crimes cibernéticos para ganhar dinheiro, diz Grover.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/vietnamese-cybercrime-group-coralraider-nets-financial-data
- :tem
- :é
- :não
- :onde
- 10
- 11
- 13
- 2023
- 7
- 8
- 9
- a
- Acesso
- Conta
- Contas
- em
- ativo
- atividades
- atores
- Adição
- Adoção
- anúncios
- avançado
- tb
- entre
- an
- análise
- análise
- e
- qualquer
- aparecer
- apareceu
- aparece
- Aplicação
- SOMOS
- áreas
- Exército
- chegada
- AS
- Ásia
- asiático
- associado
- At
- ataque
- Ataques
- tentativa
- tentando
- Tentativas
- Automatizado
- basic
- BE
- Porque
- tornam-se
- antes
- ser
- Bot
- navegador
- negócio
- negócios
- ignorar
- Campanha
- CAN
- cartão
- cadeia
- Canal
- Cheques
- Círculo
- Cisco
- código
- coleta
- comparado
- condições
- conduz
- Configuração
- conectado
- controles
- países
- criado
- Credenciais
- crédito
- cartão de crédito
- crítico
- Infraestrutura crítica
- Atualmente
- personalizadas
- cibernético
- cibercrime
- CIBERCRIMINAL
- Cíber segurança
- dados,
- Data
- entregue
- entregando
- área de trabalho
- descobrir
- Detecção
- desenvolve
- digital
- tecnologias digitais
- descoberto
- do
- parece
- de downloads
- Econômico
- Condições económicas
- incorporado
- engajar
- Engenharia
- entidades
- evasão
- evidência
- exemplo
- exemplos
- Executa
- exfiltração
- experimentando
- exposto
- Exposição
- extensão
- anúncios no Facebook
- enfrentando
- poucos
- Envie o
- Arquivos
- financeiro
- dados financeiros
- Primeiro nome
- Foco
- seguinte
- Escolha
- força
- encontrado
- freqüentemente
- da
- função
- Ganho
- Governo
- Entidades Governamentais
- Governos
- Grupo
- Do grupo
- Grover
- tinha
- Ter
- he
- fortemente
- altamente
- hijack
- historicamente
- Contudo
- HTML
- HTTPS
- ÍCONE
- IDC
- if
- imagens
- in
- inadvertidamente
- incentivado
- Incluindo
- Crescimento
- cada vez mais
- indicações
- indivíduos
- infectado
- influência
- INFORMAÇÕES
- Infraestrutura
- ING
- Inteligência
- para dentro
- IT
- Trabalho
- Jornalistas
- jpeg
- conhecido
- por último
- Atrasado
- líder
- legítimo
- menos
- como
- Limitado
- ligado
- carregador
- carregamento
- Baixo
- máquina
- máquinas
- moldadas
- a Principal
- fazer
- ganhar dinheiro
- malwares
- Gerente
- mapas
- Mercados
- Mídia
- Meta
- erros
- momento
- dinheiro
- monitoração
- mais
- mover
- Nomeado
- Das Nações
- Nets
- Novo
- recém-chegado
- notificações
- of
- oficial
- frequentemente
- on
- ONE
- para
- abertura
- Operações
- oportunidades
- or
- organizações
- Outros
- A Nossa
- próprio
- executa
- platão
- Inteligência de Dados Platão
- PlatãoData
- possível
- publicado
- potencial
- PowerShell
- prioridade
- Lucro
- rápido
- em vez
- região
- confia
- pesquisa
- pesquisadores
- resultando
- Reuters
- Revelado
- direitos
- papéis
- corrida
- é executado
- s
- dizer
- diz
- digitalização
- cena
- screenshots
- escrita
- Scripts
- segurança
- visto
- sensível
- Série
- serviço
- Serviços
- ela
- Sinais
- hábil
- Redes Sociais
- Engenharia social
- meios de comunicação social
- alguns
- sofisticado
- sudeste
- gasto
- Estágio
- começa
- estabelecido
- estação
- roubar
- rouba
- roubado
- tal
- surpreendente
- suscetível
- .
- sistemas
- toma
- Talos
- visadas
- alvejando
- Dados Técnicos:
- técnicas
- Tecnologias
- Telegram
- televisão
- temporário
- texto
- do que
- que
- A
- as informações
- deles
- Eles
- então
- Lá.
- Este
- deles
- isto
- ameaça
- atores de ameaças
- ameaças
- três
- limiar
- Através da
- tempo
- para
- ferramenta
- ferramentas
- negociadas
- tipicamente
- subterrâneo
- usava
- Utilizador
- utilização
- Utilizando
- variedade
- variar
- Vítima
- vítimas
- Vietnã
- vietnamita
- Virtual
- máquina virtual
- visual
- salário
- foi
- we
- BEM
- foram
- qual
- enquanto
- Windows
- de
- palavras
- trabalhar
- ainda
- zefirnet
- zona