Hacker Việt bị nghi đứng sau các vụ tấn công đánh cắp dữ liệu tài chính ở châu Á

Hacker News dẫn lời nhóm nghiên cứu bảo mật Cisco Talos, thuộc tập đoàn Cisco (Mỹ), một chiến dịch tấn công có tên gọi CoralRaider nhắm vào các tổ chức tài chính ở các nước Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam từ tháng 5/2023 đến nay để để đánh cắp dữ liệu kinh doanh.

Cisco Talos cho biết, nhóm hacker tập trung vào thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân.

Để thực hiện các vụ tấn công, hacker dùng RotBot, một biến thể tùy chỉnh của Quasar RAT và XClient. Nhóm dùng nhiều công cụ khác nhau, nhiều phần mềm chuyên đánh cắp dữ liệu như Ducktail, NodeStealer và VietCredCare, một số phần mềm độc hại khác như AsyncRAT, NetSupport RAT, Rhadamanthys và cả trojan truy cập từ xa.

Thông tin bị đánh cắp được thu thập qua Telegram. Cisco Talos cho biết, có thể tin tặc khai thác CoralRaider đến từ Việt Nam. Kết luận được đưa ra sau khi Cisco Talos phân tích thông điệp trong các kênh chat Telegram, tùy chọn ngôn ngữ và cách đặt tên cho bot, chuỗi PDB (trình gỡ lỗi), những từ khóa tiếng Việt được mã hóa cứng trong tệp tin.

Hacker giao dịch thông tin đánh cắp được trên thị trường ngầm để kiếm lợi bất hợp pháp.

Đầu tiên, hacker thường sẽ chiếm quyền quản lý tài khoản Facebook, sau đó đổi tên, sửa giao diện giống với các chatbot AI nổi tiếng của Google, OpenAI và Midjourney. Thậm chí tin tặc còn chạy quảng cáo để tiếp cận nạn nhân, lừa người dùng đến những trang web giả mạo.

Công ty an ninh mạng Romania cho biết, thông qua hệ thống quảng cáo của Meta các chiến dịch quảng cáo độc hại có phạm vi tiếp cận rất lớn giúp tin tặc có thể tiếp cận nạn nhân ở châu Âu và các nơi khác, bên cạnh các quốc gia châu Á.