Nhóm hacker tại Việt Nam bị nghi đứng sau nhiều vụ đánh cắp dữ liệu tài chính ở châu Á

Chuyên trang an ninh mạng The Hacker News dẫn báo cáo từ đơn vị nghiên cứu bảo mật Cisco Talos mới đây cho biết một nhóm tin tặc được cho là hoạt động tại Việt Nam đã thực hiện nhiều vụ tấn công mạng ở một số quốc gia châu Á bằng các loại mã độc để đánh cắp dữ liệu quan trọng. Hoạt động tấn công có thể đã diễn ra từ tháng 5/2023.

Cisco Talos đang theo dõi chiến dịch tấn công mạng nhằm vào các thị trường như Việt Nam, Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan và Indonesia. Họ gọi chiến dịch này là CoralRaider và mô tả hacker là những kẻ tấn công vì tiền.

"Nhóm này tập trung vào việc đánh cắp thông tin đăng nhập, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân, gồm cả tài khoản doanh nghiệp và quảng cáo", các nhà nghiên cứu bảo mật Chetan Raghuprasad và Joey Chen cho biết.

"Chúng sử dụng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient stealer làm mã độc thực thi", chuyên gia nói thêm.

Ngoài ra, nhóm hacker cũng kết hợp nhiều công cụ mã độc khác như Trojan (một loại mã độc) truy cập từ xa và mã độc phục vụ đánh cắp thông tin như AsyncRAT, NetSupport RAT và Rhadamanthys.

Việc nhắm mục tiêu vào các tài khoản doanh nghiệp và quảng cáo là trọng tâm đặc biệt đối với những kẻ tấn công hoạt động bên ngoài Việt Nam. Các phần mềm độc hại cũng đa dạng như Ducktail, NodeStealer và VietCredCare, được triển khai để chiếm quyền các tài khoản nhằm kiếm thêm tiền.

Phương thức hoạt động của nhóm là sử dụng Telegram để đánh cắp thông tin từ máy tính của nạn nhân, sau đó giao dịch trên các chợ đen để tạo ra thu nhập bất hợp pháp.

"Những kẻ điều hành CoralRaider được nghi là đặt trụ sở tại Việt Nam, dựa trên các tin nhắn của chúng trên kênh bot Telegram C2 và sở thích ngôn ngữ trong việc đặt tên cho bot, chuỗi PDB và các từ tiếng Việt khác được mã hóa cứng trong các tệp nhị phân mã độc của chúng", các nhà nghiên cứu cho biết.

Chuỗi tấn công bắt đầu bằng một tệp shortcut Windows (LNK). Hiện tại vẫn chưa có giải thích rõ ràng về cách các tệp này được phân phối cho các mục tiêu.

Nếu tệp LNK được mở, một tệp ứng dụng HTML (HTA) sẽ được tải xuống. Nó xuất phát từ máy chủ do kẻ tấn công kiểm soát, sau đó nó sẽ chạy một script (ngôn ngữ kịch bản) Visual Basic được nhúng bên trong. Kịch bản này giải mã và tuần tự thực thi ba script PowerShell khác, chịu trách nhiệm thực hiện kiểm tra chống máy ảo và chống phân tích, vượt qua Kiểm soát truy cập người dùng Windows (UAC), vô hiệu hóa thông báo của Windows và ứng dụng, đồng thời tải xuống và chạy RotBot.

RotBot được liên kết với một bot Telegram, sẽ lấy phần mềm độc hại đánh cắp có tên XClient và chạy nó trong bộ nhớ, cuối cùng giúp đánh cắp cookie, thông tin đăng nhập và thông tin tài chính từ các trình duyệt web như Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera; dữ liệu Discord và Telegram; và ảnh chụp màn hình.

XClient cũng được thiết kế để hút dữ liệu từ các tài khoản Facebook, Instagram, TikTok và YouTube của nạn nhân, thu thập chi tiết về phương thức thanh toán và quyền hạn được liên kết với các tài khoản doanh nghiệp và quảng cáo trên Facebook của họ.

"RotBot là một biến thể của client Quasar RAT mà kẻ tấn công đã tùy chỉnh và biên dịch cho chiến dịch này", các nhà nghiên cứu cho biết.

Họ nói thêm rằng: "XClient có khả năng đánh cắp thông tin rộng rãi thông qua mô-đun plugin của nó và các mô-đun khác nhau để thực hiện các tác vụ quản trị từ xa."

Theo nghiên cứu từ Bitdefender, các phần mềm mã độc như Rilide, Vidar, IceRAT hay cái tên mới là Nova Stealer đã nổi lên gần đây nhờ sự vươn lên mạnh mẽ của công nghệ AI.

Cụ thể, kẻ tấn công sẽ bắt đầu chiếm đoạt một tài khoản Facebook hiện có và tiến hành các bước thay đổi để giả mạo các công cụ AI nổi tiếng từ Google, OpenAI và Midjourney, đồng thời mở rộng phạm vi tiếp cận của chúng bằng cách chạy quảng cáo tài trợ trên nền tảng.

Một trong những trang mạo danh như vậy đóng giả Midjourney đã có 1,2 triệu người theo dõi trước khi bị gỡ xuống vào ngày 8/3/2023. Kẻ tấn công quản lý trang chủ yếu đến từ Việt Nam, Mỹ, Indonesia, Anh và Australia cùng một số quốc gia khác.

"Các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn thông qua hệ thống quảng cáo tài trợ của Meta và đang tích cực nhắm mục tiêu vào người dùng châu Âu từ Đức, Ba Lan, Italy, Pháp, Bỉ, Tây Ban Nha, Hà Lan, Romania, Thụy Điển và các nơi khác", công ty an ninh mạng Romania cho biết.