VietCredCare Stealer
От август 2022 г. рекламодателите във Facebook във Виетнам са били атакувани от неидентифициран досега крадец на информация, наречен VietCredCare. Този злонамерен софтуер се откроява със способността си автоматично да пресява сесийните бисквитки на Facebook и идентификационните данни, откраднати от компрометирани устройства. След това той оценява дали целевите акаунти наблюдават бизнес профили и дали притежават благоприятен Мета рекламен кредитен баланс.
Крайната цел на тази широко разпространена кампания за атака на зловреден софтуер е да даде възможност за неоторизирано поглъщане на корпоративни акаунти във Facebook. Фокусът е върху лица във Виетнам, които управляват Facebook профилите на видни фирми и организации. Веднъж успешно компрометирани, тези иззети Facebook акаунти се превръщат в инструменти за заплахите, които стоят зад операцията. Те използват тези акаунти, за да разпространяват политическо съдържание или да насърчават фишинг и партньорски измами, като в крайна сметка целят финансова печалба.
Съдържание
VietCredCare Stealer се предлага за продажба на други криберпрестъпници
VietCredCare работи като Stealer-as-a-Service (SaaS) и неговата наличност обхваща и амбициозни киберпрестъпници. Реклами за тази услуга могат да бъдат намерени в различни платформи, включително Facebook, YouTube и Telegram. Смята се, че операцията се ръководи от хора, владеещи виетнамски език.
Потенциалните клиенти могат да избират между закупуване на достъп до ботнет, управляван от разработчиците на зловреден софтуер, или придобиване на изходния код за лична употреба или препродажба. Освен това клиентите получават персонализиран Telegram бот, предназначен да се справи с извличането и доставянето на идентификационни данни от заразени устройства.
Този зловреден софтуер, изграден върху .NET framework, се разпространява чрез връзки, споделени в публикации в социални медии и платформи за незабавни съобщения. Той умело се маскира като легитимен софтуер, като Microsoft Office или Acrobat Reader, подмамвайки потребителите да инсталират неволно злонамерено съдържание от измамни уебсайтове.
VietCredCare Stealer може да компрометира чувствителни данни
VietCredCare Stealer се отличава от останалите злонамерени заплахи за злонамерен софтуер със своята видна функция за извличане на идентификационни данни, бисквитки и идентификатори на сесии от добре познати уеб браузъри като Google Chrome, Microsoft Edge и Cốc Cốc, подчертавайки фокуса му върху виетнамския контекст.
Освен това, той отива крачка напред, като извлича IP адреса на жертвата, разпознава дали акаунт във Facebook е свързан с бизнес профил и оценява дали акаунтът в момента управлява някакви реклами. Едновременно с това той използва тактики за укриване, за да избегне откриването, като деактивиране на Windows Antimalware Scan Interface (AMSI) и добавяне към списъка за изключване на Windows Defender Antivirus.
Основната функционалност на VietCredCare, по-специално умението му да филтрира идентификационните данни на Facebook, представлява значителен риск за организациите както в публичния, така и в частния сектор. Ако чувствителните акаунти бъдат компрометирани, това може да доведе до тежки репутационни и финансови последици. Целите на този злонамерен софтуер за крадец включват идентификационни данни от различни субекти, включително правителствени агенции, университети, платформи за електронна търговия, банки и виетнамски компании.
Няколко заплахи за крадци се появиха от виетнамски киберпрестъпни групи
VietCredCare се присъединява към редиците на зловреден софтуер крадец, произхождащ от виетнамската киберпрестъпна екосистема, заедно с предшественици като Ducktail и NodeStealer, всички специално проектирани да се насочват към акаунти във Facebook.
Въпреки общия им произход, експертите все още не са установили конкретна връзка между тези различни видове крадци. Ducktail показва различни функции и докато съществуват някои прилики с NodeStealer, последният се различава, като използва сървър за командване и управление (C2) вместо Telegram, с разлики в профилите на целевите жертви.
Независимо от това, бизнес моделът SaaS предоставя възможност за участниците в заплахите с минимален технически опит да участват в киберпрестъпления. Тази достъпност допринася за увеличаване на броя на невинните жертви, които стават жертва на такива вредни дейности.
