Paige Henley
Cisco Talos, una empresa de tecnología de ciberseguridad y seguridad de la información con sede en Maryland, descubrió recientemente una nueva amenaza cibernética denominada "CoralRaider", que se cree que se origina en Vietnam y está impulsada por ganancias financieras.
Desde aproximadamente 2023, CoralRaider se ha dirigido a personas de varios países asiáticos y del sudeste asiático, incluidos India, Bangladesh, China, Vietnam, Corea del Sur, Indonesia y otros.
Para llevar a cabo sus planes, CoralRaider emplea herramientas sofisticadas como RotBot, una versión modificada de QuasarRAT y XClient Stealer. Además, utilizan una técnica llamada "dead drop", utilizando servicios legítimos para ocultar sus archivos maliciosos, junto con programas poco comunes como Forfiles.exe y FoDHelper.exe para evadir la detección.
El ataque sigue un proceso simple:
- El usuario abre un archivo malicioso de acceso directo de Windows
- El archivo descarga y ejecuta un archivo de aplicación HTML (HTA) desde un servidor de descarga controlado por un atacante.
- La HTA activa un script de Visual Basic incorporado que ejecuta un script de PowerShell en la memoria.
- El script de PowerShell inicia otros 3 que omiten los controles de acceso de usuarios, realizan comprobaciones anti-VM y anti-análisis y desactivan las notificaciones de Windows.
- Finalmente, descarga y ejecuta RotBot, que carga el ladrón XClient.
El grupo utiliza XClient para robar muchos tipos de datos personales, incluidas cuentas de redes sociales (incluidas las utilizadas para negocios y publicidad), credenciales y datos financieros. Estos datos luego se utilizan para obtener ganancias financieras, incluida la venta a otros malos actores.
“Encontramos algunos grupos de Telegram en vietnamita llamados 'Kiém tien tử Facebook', 'Mua Bán Scan MINI' y 'Mua Bán Scan Meta'. " Dijo Cisco Talos. “El seguimiento de estos grupos reveló que eran mercados clandestinos donde, entre otras actividades, se comercializaban datos de las víctimas”.
El descubrimiento de CoralRaider pone de relieve la naturaleza en constante evolución de las amenazas cibernéticas, especialmente en lo que respecta a los delitos cibernéticos financieros. Este grupo, que se centra en el robo de información confidencial, plantea un riesgo importante tanto para personas como para organizaciones.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.safetydetectives.com/news/vietnamese-hackers-strike-coralraider-targets-asian-accounts/
