Categorie
Sicurezza Informatica

CoralRaider mira ai dati e agli account social

Tempo di lettura: 2 minuti. Cisco Talos svela “CoralRaider”, un attore di minaccia vietnamita che mira a rubare credenziali e dati da account social in Asia e Sud-est asiatico.

Tempo di lettura: 2 minuti.

Cisco Talos ha identificato un nuovo attore di minaccia denominato “CoralRaider”, presumibilmente di origine vietnamita e motivato finanziariamente. Operativo dal 2023, CoralRaider si concentra sul furto di credenziali, dati finanziari e account social, inclusi account aziendali e pubblicitari, in diversi paesi asiatici e del Sud-est asiatico.

Tattiche e payload

CoralRaider utilizza un’arma personalizzata di QuasarRAT chiamata RotBot e il malware XClient stealer nelle sue campagne. Impiega tecniche di dead drop per ospitare il file di configurazione C2 su un servizio legittimo e utilizza binari di terra meno comuni (LoLBins) come Windows Forfiles.exe e FoDHelper.exe.

Origine e analisi

L’analisi di Talos suggerisce con alta confidenza che CoralRaider sia basato in Vietnam, dedotto dalla lingua utilizzata nei canali bot C2 di Telegram e da elementi come stringhe PDB e altri termini vietnamiti nei payload binari. Indirizzi IP associati sono stati rintracciati a Hanoi, Vietnam.

Tecnica di Comando e Controllo

CoralRaider utilizza bot di Telegram come canale C2 per esfiltrare i dati delle vittime. Le immagini analizzate dai desktop degli attaccanti hanno rivelato gruppi Telegram in vietnamita legati a mercati sotterranei dove vengono scambiati dati di vittime.

Impatto e Distribuzione

La campagna di CoralRaider prende di mira vittime in vari paesi asiatici, tra cui India, Cina, Corea del Sud, Bangladesh, Pakistan, Indonesia e Vietnam. Il vettore iniziale della campagna è il file di scelta rapida di Windows, ma la tecnica di consegna precisa rimane incerta.

Analisi del Payload

L’analisi del payload XClient stealer ha rivelato l’uso di parole vietnamite codificate duramente nelle funzioni di ruberia, indicando ulteriormente l’origine vietnamita dell’attore.

Il malware mira a rubare dati di navigazione, informazioni finanziarie, e dati da account social come Facebook, Instagram, TikTok e YouTube.

Implicazioni per la Sicurezza

La scoperta di CoralRaider da parte di Talos mette in luce una nuova minaccia significativa nel panorama della sicurezza informatica, sottolineando l’importanza della vigilanza e della protezione contro tali attori di minaccia sofisticati.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version