Buzz
Một nhóm tin tặc được cho là có nguồn gốc từ Việt Nam đang nhắm vào các tổ chức tài chính trên khắp châu Á để thực hiện vụ đánh cắp dữ liệu kinh doanh.
Thông tin trên được trích từ trang The Hacker News trích dẫn tuyên bố của nhóm nghiên cứu bảo mật Cisco Talos, một phần của tập đoàn Cisco (Mỹ).
'Chúng tôi phát hiện ra một loại phần mềm độc hại được thiết kế để thu thập dữ liệu tài chính tại Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5-2023 đến nay' – nhóm bảo mật Cisco Talos đã tiết lộ.
Chiến dịch tấn công của nhóm tin tặc với tên gọi CoralRaider 'tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, bao gồm cả tài khoản doanh nghiệp và quảng cáo'.
Cisco Talos mô tả tin tặc sử dụng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient, để thực hiện các vụ tấn công. Họ cũng sử dụng nhiều công cụ khác nhau, bao gồm cả trojan (mã độc tấn công) truy cập từ xa và một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys. Ngoài ra, tin tặc còn sử dụng nhiều phần mềm khác như Ducktail, NodeStealer và VietCredCare để đánh cắp dữ liệu.
Thông tin bị đánh cắp được thu thập qua Telegram, sau đó tin tặc giao dịch trên thị trường ngầm để kiếm lợi bất hợp pháp.
'Dựa vào tin nhắn trong các nhóm Telegram, lựa chọn ngôn ngữ và cách đặt tên cho bot, chuỗi gỡ lỗi (PDB) chứa các từ khóa tiếng Việt đã được mã hóa cứng trong tệp. Có khả năng tin tặc sử dụng CoralRaider từ Việt Nam' - Cisco Talos phát biểu.
Tin tặc có nguồn gốc từ Việt Nam bị nghi ngờ đánh cắp dữ liệu tài chính ở châu Á. Ảnh minh họa: The Hacker News
Cuộc tấn công thường bắt đầu bằng cách chiếm quyền quản lý tài khoản Facebook. Sau đó, tin tặc thay đổi tên, chỉnh sửa giao diện để giả mạo các chatbot AI nổi tiếng như Google, OpenAI hay Midjourney.
Tin tặc thậm chí còn chạy quảng cáo để tiếp cận nạn nhân, đánh lừa người dùng đến những trang web giả mạo. Một tài khoản giả mạo Midjourney từng có 1,2 triệu người theo dõi trước khi bị loại bỏ vào giữa năm 2023.
Khi dữ liệu bị đánh cắp, RotBot được cấu hình để liên kết với bot Telegram và thực thi phần mềm độc hại XClient trong bộ nhớ. Thông tin bảo mật và xác thực trên các trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera đều bị thu thập.
XClient cũng được thiết kế để thu thập dữ liệu từ tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân. Mã độc còn lấy thông tin chi tiết về các phương thức thanh toán và quyền liên quan đến tài khoản quảng cáo, kinh doanh trên Facebook của họ.
'Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất rộng qua hệ thống quảng cáo của Meta. Do đó, tin tặc chủ động tiếp cận nạn nhân ở khắp châu Âu như Đức, Ba Lan, Ý, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và nhiều quốc gia khác, cùng các quốc gia châu Á' – nguồn tin nhấn mạnh.
