Trung Đào
Writer
Công ty an ninh mạng Mỹ Cisco Talos cho hay một nhóm tin tặc được nghi ngờ xuất phát từ Việt Nam đã thực hiện các cuộc tấn công vào nhiều quốc gia châu Á và Đông Nam Á bằng cách sử dụng phần mềm độc hại. Đối tượng của cuộc tấn công này chủ yếu là các cá nhân và doanh nghiệp ở Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam.
Phương thức hoạt động của nhóm tin tặc này bao gồm sử dụng các phần mềm độc hại như RotBot, một biến thể của Quasar RAT, và XClient để thu thập thông tin nhạy cảm như thông tin xác thực, tài chính và tài khoản mạng xã hội của nạn nhân. Họ cũng sử dụng các loại phần mềm độc hại khác như AsyncRAT, NetSupport RAT, và Rhadamanthys. Mục tiêu chính của cuộc tấn công là đánh cắp thông tin từ các tài khoản doanh nghiệp và quảng cáo.
Để thực hiện cuộc tấn công, nhóm tin tặc sử dụng các tệp lỗi tắt Windows (LNK) để tải xuống và thực thi các tệp ứng dụng HTML (HTA) từ máy chủ kiểm soát của họ. Các tập lệnh sau đó được sử dụng để thực hiện các nhiệm vụ như kiểm tra chống máy ảo, phá vỡ Kiểm soát truy cập người dùng Windows (UAC), vô hiệu hóa thông báo ứng dụng và Windows, và tải xuống và chạy RotBot.
RotBot sau đó liên lạc với bot Telegram để gửi thông tin đánh cắp từ máy nạn nhân, bao gồm cả cookie, thông tin xác thực và thông tin tài chính từ các trình duyệt web và ứng dụng như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Discord và Telegram. XClient cũng được sử dụng để đánh cắp thông tin từ các tài khoản mạng xã hội như Facebook, Instagram, TikTok và YouTube của nạn nhân.
Nhóm tin tặc này đã tùy chỉnh và sử dụng các biến thể của các ứng dụng Quasar RAT và các công cụ đánh cắp thông tin khác để thực hiện cuộc tấn công. Điều này xảy ra đồng thời với việc Bitdefender tiết lộ chi tiết về một chiến dịch quảng cáo độc hại trên Facebook, mà trong đó các tội phạm sử dụng các trang mạo danh để lừa đảo người dùng và thực hiện các cuộc tấn công đánh cắp thông tin khác nhau.
Phương thức hoạt động của nhóm tin tặc này bao gồm sử dụng các phần mềm độc hại như RotBot, một biến thể của Quasar RAT, và XClient để thu thập thông tin nhạy cảm như thông tin xác thực, tài chính và tài khoản mạng xã hội của nạn nhân. Họ cũng sử dụng các loại phần mềm độc hại khác như AsyncRAT, NetSupport RAT, và Rhadamanthys. Mục tiêu chính của cuộc tấn công là đánh cắp thông tin từ các tài khoản doanh nghiệp và quảng cáo.
Để thực hiện cuộc tấn công, nhóm tin tặc sử dụng các tệp lỗi tắt Windows (LNK) để tải xuống và thực thi các tệp ứng dụng HTML (HTA) từ máy chủ kiểm soát của họ. Các tập lệnh sau đó được sử dụng để thực hiện các nhiệm vụ như kiểm tra chống máy ảo, phá vỡ Kiểm soát truy cập người dùng Windows (UAC), vô hiệu hóa thông báo ứng dụng và Windows, và tải xuống và chạy RotBot.
Nhóm tin tặc này đã tùy chỉnh và sử dụng các biến thể của các ứng dụng Quasar RAT và các công cụ đánh cắp thông tin khác để thực hiện cuộc tấn công. Điều này xảy ra đồng thời với việc Bitdefender tiết lộ chi tiết về một chiến dịch quảng cáo độc hại trên Facebook, mà trong đó các tội phạm sử dụng các trang mạo danh để lừa đảo người dùng và thực hiện các cuộc tấn công đánh cắp thông tin khác nhau.
