Hacker Berbasis di Vietnam Curi Data Keuangan di Seluruh Asia dengan Malware
Selular.ID – Hacker yang diduga berasal dari Vietnam telah diamati menargetkan korban di beberapa negara Asia dan Asia Tenggara dengan malware yang dirancang untuk mengumpulkan data berharga setidaknya sejak Mei 2023.
Cisco Talos melacak cluster tersebut dengan nama CoralRaider, menggambarkannya sebagai bermotivasi finansial. Sasaran kampanye ini meliputi India, Tiongkok, Korea Selatan, Bangladesh, Pakistan, Indonesia, dan Vietnam.
“Kelompok ini berfokus pada pencurian kredensial korban, data keuangan, dan akun media sosial, termasuk akun bisnis dan iklan,” kata peneliti keamanan Chetan Raghuprasad dan Joey Chen.
Dijelaskan mereka, Malware menggunakan RotBot, varian khusus dari Quasar RAT, dan pencuri XClient sebagai muatannya.
Malware komoditas lain yang digunakan oleh kelompok ini terdiri dari kombinasi trojan akses jarak jauh dan pencuri informasi seperti AsyncRAT , NetSupport RAT , dan Rhadamanthys .
Penargetan akun bisnis dan iklan telah menjadi fokus khusus bagi penyerang yang beroperasi di luar Vietnam, dengan berbagai jenis malware pencuri seperti Ducktail, NodeStealer, dan VietCredCare dikerahkan untuk mengambil kendali akun tersebut guna monetisasi lebih lanjut.
Baca Juga:Indonesia Jadi Salah Satu Negara yang Paling Sering Dibobol Hacker
Modus operandinya adalah penggunaan Telegram untuk menyaring informasi yang dicuri dari mesin korban, yang kemudian diperdagangkan di pasar bawah tanah untuk menghasilkan pendapatan ilegal.
“Operator CoralRaider berbasis di Vietnam, berdasarkan pesan aktor di saluran bot Telegram C2 mereka dan preferensi bahasa dalam memberi nama bot mereka, string PDB, dan kata-kata Vietnam lainnya yang dikodekan dalam biner muatan mereka,” kata para peneliti.
Rantai serangan dimulai dengan file pintasan Windows (LNK), meskipun saat ini tidak ada penjelasan jelas mengenai bagaimana file-file ini didistribusikan ke target.
Jika file LNK dibuka, file aplikasi HTML (HTA) diunduh dan dijalankan dari server unduhan yang dikendalikan penyerang, yang kemudian menjalankan skrip Visual Basic yang tertanam.
Skrip, pada bagiannya, mendekripsi dan secara berurutan mengeksekusi tiga skrip PowerShell lainnya yang bertanggung jawab untuk melakukan pemeriksaan anti-VM dan anti-analisis, menghindari Kontrol Akses Pengguna Windows ( UAC ), menonaktifkan pemberitahuan Windows dan aplikasi, serta mengunduh dan menjalankan RotBot.
RotBot dikonfigurasi untuk menghubungi bot Telegram dan mengambil malware pencuri XClient dan mengeksekusinya di memori, yang pada akhirnya memfasilitasi pencurian cookie, kredensial, dan informasi keuangan dari browser web seperti Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, dan Opera; Data perselisihan dan Telegram; dan tangkapan layar.
XClient juga dirancang untuk menyedot data dari akun Facebook, Instagram, TikTok, dan YouTube korban, mengumpulkan rincian tentang metode pembayaran dan izin yang terkait dengan akun bisnis dan iklan Facebook mereka.
“RotBot adalah varian dari klien Quasar RAT yang telah disesuaikan dan disusun oleh pelaku ancaman untuk kampanye ini,” kata para peneliti. “[XClient] memiliki kemampuan mencuri informasi yang luas melalui modul pluginnya dan berbagai modul untuk melakukan tugas administratif jarak jauh.”
Perkembangan ini terjadi ketika Bitdefender mengungkapkan rincian kampanye maliklan di Facebook yang memanfaatkan desas-desus seputar alat AI generatif untuk mendorong berbagai pencuri informasi seperti Rilide , Vidar , IceRAT , dan pendatang baru yang dikenal sebagai Nova Stealer.
Titik awal serangan adalah pelaku ancaman mengambil alih akun Facebook yang sudah ada dan memodifikasi tampilannya untuk meniru alat AI terkenal dari Google, OpenAI, dan Midjourney, serta memperluas jangkauan mereka dengan menjalankan iklan bersponsor di platform.
Salah satu halaman penipu yang menyamar sebagai Midjourney memiliki 1,2 juta pengikut sebelum dihapus pada tanggal 8 Maret 2023. Pelaku ancaman yang mengelola halaman tersebut sebagian besar berasal dari Vietnam, AS, Indonesia, Inggris, dan Australia, dan banyak lagi.
Baca Juga:Prediksi Keamanan Siber 2024, Teknologi AI Membuka Peluang Baru Hacker
“Kampanye malvertising memiliki jangkauan yang luar biasa melalui sistem iklan bersponsor Meta dan secara aktif menargetkan pengguna Eropa dari Jerman, Polandia, Italia, Perancis, Belgia, Spanyol, Belanda, Rumania, Swedia, dan tempat lain,” kata perusahaan keamanan siber Rumania .
Komentar
Posting Komentar