上記の情報は、シスコ社（米国）傘下のシスコ タロス セキュリティ リサーチ グループの声明を引用して、 The Hacker Newsが報じたものです。

「2023年5月以降、インド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムで金融データを収集するように設計されたマルウェアを検出しました」とシスコのタロスセキュリティチームは明らかにした。

CoralRaiderと呼ばれるハッカー集団による攻撃活動は、「被害者の認証情報、財務データ、ビジネスアカウントや広告アカウントを含むソーシャルメディアアカウントを標的にしていた」。

Cisco Talos は、ハッカーが攻撃を実行するために Quasar RAT と XClient のカスタマイズされた変種である RotBot を使用していると説明しています。また、リモート アクセス トロイの木馬や、AsyncRAT、NetSupport RAT、Rhadamanthys などのマルウェアを含むさまざまなツールも使用されます。さらに、ハッカーは、Ducktail、NodeStealer、VietCredCare などの多くの特殊なデータ窃盗ソフトウェアも使用します。

盗まれた情報はTelegramを通じて収集され、ハッカーらはそれを闇市場で取引して不法な利益を得ていた。

「Telegramのチャットチャンネルのメッセージ、言語設定、ボットの命名規則に基づくと、デバッガー文字列（PDB）のファイルにはベトナム語のキーワードがハードコードされている。CoralRaiderを悪用するハッカーはベトナム出身である可能性がある」とCisco Talosはコメントした。

攻撃は通常、Facebook アカウントを乗っ取ることから始まります。その後、ハッカーは名前とインターフェースを変更し、Google、OpenAI、Midjourney などの有名な AI チャットボットを装いました。

ハッカーは被害者にアプローチするために広告を掲載し、ユーザーを騙して偽のウェブサイトを訪問させることもあります。偽のミッドジャーニーアカウントは、2023年半ばに削除されるまで120万人のフォロワーを抱えていた。

データが盗まれると、RotBot は Telegram ボットに接続し、メモリ内で XClient マルウェアを実行するように設定されます。 Brave、Coc Coc、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera などの Web ブラウザのセキュリティおよび認証情報が収集されます。

XClient は、被害者の Facebook、Instagram、TikTok、YouTube アカウントからデータを収集するようにも設計されています。このマルウェアは、Facebook の広告やビジネス アカウントに関連する支払い方法や権限に関する詳細も収集します。

「悪質な広告キャンペーンはMetaの広告システムを通じて広範囲に及んだ。そこからハッカーたちは、ドイツ、ポーランド、イタリア、フランス、ベルギー、スペイン、オランダ、ルーマニア、スウェーデンなどヨーロッパ各地、そしてアジア諸国の被害者に積極的にアプローチした」と情報筋は強調した。