هاكر فيتنامي مشتبه به في تدبير الاضطرابات في آسيا

[إعلان 1]

تم نشر المعلومات المذكورة أعلاه بواسطة The Hacker News ، نقلاً عن بيان من مجموعة أبحاث الأمن Cisco Talos، وهي جزء من شركة Cisco Corporation (الولايات المتحدة الأمريكية).

كشف فريق الأمن في شركة Cisco Talos: "لقد اكتشفنا برنامجًا خبيثًا مصممًا لجمع البيانات المالية في الهند والصين وكوريا الجنوبية وبنغلاديش وباكستان وإندونيسيا وفيتنام منذ مايو 2023".

وركزت حملة الهجوم التي شنتها مجموعة القراصنة المسماة CoralRaider على "بيانات اعتماد الضحايا وبياناتهم المالية وحساباتهم على وسائل التواصل الاجتماعي، بما في ذلك حسابات الأعمال والإعلان".

تصف شركة Cisco Talos المهاجمين باستخدام RotBot، وهو نسخة مُعدّلة من Quasar RAT وXClient، لتنفيذ الهجمات. كما استخدموا مجموعة متنوعة من الأدوات، بما في ذلك أحصنة طروادة للوصول عن بُعد وبرامج ضارة أخرى مثل AsyncRAT وNetSupport RAT وRhadamanthys. بالإضافة إلى ذلك، استخدم المهاجمون أيضًا مجموعة متنوعة من برامج سرقة البيانات المتخصصة مثل Ducktail وNodeStealer وVietCredCare.

تم جمع المعلومات المسروقة عبر تطبيق Telegram، والتي قام القراصنة بعد ذلك بتداولها في السوق السوداء لتحقيق أرباح غير مشروعة.

بناءً على الرسائل في قنوات دردشة تيليجرام، وتفضيلات اللغة، وتسمية الروبوتات، تحتوي سلسلة مصحح الأخطاء (PDB) على كلمات رئيسية فيتنامية مُبرمجة مسبقًا. من المحتمل أن يكون المخترقون الذين يستغلون CoralRaider من فيتنام - علق Cisco Talos.

Tin tặc có nguồn gốc từ Việt Nam bị tình nghi đánh cắp dữ liệu tài chính ở châu Á. Ảnh minh hoạ: The Hacker News — يُشتبه في أن قراصنة من فيتنام سرقوا بيانات مالية في آسيا. صورة توضيحية: ذا هاكر نيوز

يبدأ الهجوم عادةً بالسيطرة على حساب فيسبوك. ثم يُغيّر المخترقون الاسم والواجهة لانتحال هوية روبوتات الدردشة الذكية الشهيرة من جوجل، أو OpenAI، أو Midjourney.

حتى أن المخترقين ينشرون إعلانات للوصول إلى الضحايا، ويجذبون المستخدمين إلى مواقع إلكترونية مزيفة. كان أحد حسابات "ميدجورني" المزيفة يتابعه 1.2 مليون شخص قبل حذفه منتصف عام 2023.

بمجرد سرقة البيانات، يُهيأ RotBot للاتصال بروبوت Telegram وتشغيل برمجية XClient الخبيثة في الذاكرة. يتم جمع معلومات الأمان والمصادقة على متصفحات الويب مثل Brave وCoc Coc وGoogle Chrome وMicrosoft Edge وMozilla Firefox وOpera.

صُمم XClient أيضًا لاستخراج البيانات من حسابات الضحايا على فيسبوك وإنستغرام وتيك توك ويوتيوب. كما يجمع البرنامج الخبيث تفاصيل حول طرق الدفع والأذونات المتعلقة بحساباتهم الإعلانية والتجارية على فيسبوك.

امتدت حملات الإعلانات الخبيثة بشكل واسع عبر نظام ميتا الإعلاني. ومن هناك، تواصل المتسللون بنشاط مع الضحايا في جميع أنحاء أوروبا، مثل ألمانيا وبولندا وإيطاليا وفرنسا وبلجيكا وإسبانيا وهولندا ورومانيا والسويد وغيرها، بالإضافة إلى دول آسيوية، وفقًا للمصدر.

[إعلان 2]
المصدر: https://nld.com.vn/tin-tac-viet-bi-nghi-chu-muu-gay-chuyen-o-chau-a-196240407103409743.htm