CoralRaider mira ai dati e agli account social

da Livio Varriale
0 commenti 2 minuti leggi

Cisco Talos ha identificato un nuovo attore di minaccia denominato “CoralRaider”, presumibilmente di origine vietnamita e motivato finanziariamente. Operativo dal 2023, CoralRaider si concentra sul furto di credenziali, dati finanziari e account social, inclusi account aziendali e pubblicitari, in diversi paesi asiatici e del Sud-est asiatico.

Tattiche e payload

CoralRaider utilizza un’arma personalizzata di QuasarRAT chiamata RotBot e il malware XClient stealer nelle sue campagne. Impiega tecniche di dead drop per ospitare il file di configurazione C2 su un servizio legittimo e utilizza binari di terra meno comuni (LoLBins) come Windows Forfiles.exe e FoDHelper.exe.

Annunci

Origine e analisi

L’analisi di Talos suggerisce con alta confidenza che CoralRaider sia basato in Vietnam, dedotto dalla lingua utilizzata nei canali bot C2 di Telegram e da elementi come stringhe PDB e altri termini vietnamiti nei payload binari. Indirizzi IP associati sono stati rintracciati a Hanoi, Vietnam.

Tecnica di Comando e Controllo

image 41 1
CoralRaider mira ai dati e agli account social 9

CoralRaider utilizza bot di Telegram come canale C2 per esfiltrare i dati delle vittime. Le immagini analizzate dai desktop degli attaccanti hanno rivelato gruppi Telegram in vietnamita legati a mercati sotterranei dove vengono scambiati dati di vittime.

image 41 2
CoralRaider mira ai dati e agli account social 10

Impatto e Distribuzione

La campagna di CoralRaider prende di mira vittime in vari paesi asiatici, tra cui India, Cina, Corea del Sud, Bangladesh, Pakistan, Indonesia e Vietnam. Il vettore iniziale della campagna è il file di scelta rapida di Windows, ma la tecnica di consegna precisa rimane incerta.

Analisi del Payload

L’analisi del payload XClient stealer ha rivelato l’uso di parole vietnamite codificate duramente nelle funzioni di ruberia, indicando ulteriormente l’origine vietnamita dell’attore.

image 41 3
CoralRaider mira ai dati e agli account social 11

Il malware mira a rubare dati di navigazione, informazioni finanziarie, e dati da account social come Facebook, Instagram, TikTok e YouTube.

Implicazioni per la Sicurezza

La scoperta di CoralRaider da parte di Talos mette in luce una nuova minaccia significativa nel panorama della sicurezza informatica, sottolineando l’importanza della vigilanza e della protezione contro tali attori di minaccia sofisticati.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara