سارق VietCredCare
منذ أغسطس 2022، تعرض المعلنون على فيسبوك في فيتنام لهجوم من قبل جهة سرقة معلومات لم يتم التعرف عليها سابقًا تسمى VietCredCare. تتميز هذه البرامج الضارة بقدرتها على فحص ملفات تعريف الارتباط وبيانات الاعتماد المسروقة من الأجهزة المخترقة تلقائيًا. بعد ذلك، يقوم بتقييم ما إذا كانت الحسابات المستهدفة تشرف على ملفات تعريف الأعمال وتمتلك رصيدًا ائتمانيًا مناسبًا للإعلان الوصفي.
الهدف النهائي لهذه الحملة واسعة النطاق لهجوم البرمجيات الخبيثة هو تمكين الاستيلاء غير المصرح به على حسابات الشركة على فيسبوك. ينصب التركيز على الأفراد في فيتنام الذين يديرون الملفات الشخصية على فيسبوك للشركات والمؤسسات البارزة. وبمجرد اختراق حسابات فيسبوك التي تم الاستيلاء عليها بنجاح، تصبح أدوات لمنفذي التهديد الذين يقفون وراء العملية. إنهم يستخدمون هذه الحسابات لنشر محتوى سياسي أو الترويج للتصيد الاحتيالي وعمليات الاحتيال التابعة، بهدف تحقيق مكاسب مالية في النهاية.
جدول المحتويات
يتم عرض برنامج VietCredCare Stealer للبيع لمجرمي Crybercriminal الآخرين
تعمل VietCredCare كخدمة سرقة كخدمة (SaaS)، ويمتد توفرها إلى مجرمي الإنترنت الطموحين. يمكن العثور على إعلانات هذه الخدمة على منصات مختلفة، بما في ذلك Facebook وYouTube وTelegram. ويعتقد أن العملية يشرف عليها أفراد يجيدون اللغة الفيتنامية.
يمكن للعملاء المحتملين الاختيار بين شراء الوصول إلى شبكة الروبوتات التي يديرها مطورو البرامج الضارة أو الحصول على كود المصدر للاستخدام الشخصي أو إعادة البيع. بالإضافة إلى ذلك، يتم تزويد العملاء بروبوت Telegram مخصص مصمم للتعامل مع استخراج وتسليم بيانات الاعتماد من الأجهزة المصابة.
يتم نشر هذه البرامج الضارة، المبنية على إطار عمل .NET، من خلال الروابط المشتركة في منشورات وسائل التواصل الاجتماعي ومنصات المراسلة الفورية. فهو يتنكر بذكاء كبرنامج شرعي، مثل Microsoft Office أو Acrobat Reader، ويخدع المستخدمين لتثبيت محتوى ضار عن غير قصد من مواقع الويب الخادعة.
قد يؤدي برنامج VietCredCare Stealer إلى اختراق البيانات الحساسة
يميز VietCredCare Stealer نفسه عن بقية تهديدات البرامج الضارة التي تسرق من خلال ميزته البارزة المتمثلة في استخراج بيانات الاعتماد وملفات تعريف الارتباط ومعرفات الجلسة من متصفحات الويب المعروفة مثل Google Chrome وMicrosoft Edge وCốc Cốc، مما يؤكد تركيزه على السياق الفيتنامي.
أبعد من ذلك، فإنه يذهب إلى أبعد من ذلك من خلال استرداد عنوان IP الخاص بالضحية، وتمييز ما إذا كان حساب Facebook مرتبطًا بملف تعريف تجاري، وتقييم ما إذا كان الحساب يدير حاليًا أي إعلانات. وفي الوقت نفسه، يستخدم أساليب التهرب لتجنب الكشف، مثل تعطيل واجهة فحص برامج Windows Antimalware (AMSI) وإضافة نفسه إلى قائمة الاستثناءات لبرنامج Windows Defender Antivirus.
تشكل الوظيفة الأساسية لـ VietCredCare، وخاصة كفاءتها في تصفية بيانات اعتماد Facebook، خطرًا كبيرًا على المؤسسات في كل من القطاعين العام والخاص. إذا تم اختراق الحسابات الحساسة، فقد يؤدي ذلك إلى عواقب وخيمة على السمعة والمالية. تضمنت أهداف هذه البرمجيات الخبيثة المسروقة بيانات اعتماد من كيانات مختلفة، بما في ذلك الوكالات الحكومية والجامعات ومنصات التجارة الإلكترونية والبنوك والشركات الفيتنامية.
ظهرت العديد من التهديدات السارقة من مجموعات المجرمين السيبرانيين الفيتناميين
تنضم VietCredCare إلى صفوف البرامج الضارة السارقة الناشئة من النظام البيئي لمجرمي الإنترنت الفيتناميين، إلى جانب أسلافها مثل Ducktail و NodeStealer، وكلها مصممة خصيصًا لاستهداف حسابات Facebook.
على الرغم من أصلهم المشترك، لم يتمكن الخبراء بعد من إنشاء رابط ملموس بين هذه السلالات السارقة المختلفة. تعرض Ducktail وظائف مميزة، وعلى الرغم من وجود بعض أوجه التشابه مع NodeStealer، إلا أن الأخير يختلف عن طريق استخدام خادم القيادة والتحكم (C2) بدلاً من Telegram، مع وجود اختلافات في ملفات تعريف الضحايا المستهدفة.
ومع ذلك، فإن نموذج أعمال SaaS يوفر وسيلة للجهات الفاعلة في مجال التهديد التي تتمتع بالحد الأدنى من الخبرة الفنية للمشاركة في الجرائم الإلكترونية. وتساهم إمكانية الوصول هذه في زيادة عدد الضحايا الأبرياء الذين يقعون فريسة لمثل هذه الأنشطة الضارة.
