VietCredCare Stealer
Des de l'agost de 2022, els anunciants de Facebook al Vietnam han estat atacats per un robador d'informació no identificat anteriorment anomenat VietCredCare. Aquest programari maliciós destaca per la seva capacitat per filtrar automàticament les galetes de sessió de Facebook i les credencials robades dels dispositius compromesos. A continuació, avalua si els comptes orientats supervisen els perfils empresarials i tenen un saldo de crèdit meta-anunci favorable.
L'objectiu final d'aquesta campanya generalitzada d'atac de programari maliciós és permetre l'adquisició no autoritzada de comptes corporatius de Facebook. El focus se centra en les persones del Vietnam que gestionen els perfils de Facebook d'empreses i organitzacions destacades. Un cop compromesos amb èxit, aquests comptes de Facebook confiscats es converteixen en eines per als actors de l'amenaça darrere de l'operació. Utilitzen aquests comptes per difondre contingut polític o promoure phishing i estafes d'afiliació, amb l'objectiu d'obtenir guanys econòmics.
Taula de continguts
El robatori de VietCredCare s’ofereix a la venda a altres criminals informàtics
VietCredCare funciona com a Stealer-as-a-Service (SaaS) i la seva disponibilitat s'estén als aspirants a ciberdelinqüents. Els anuncis d'aquest servei es poden trobar a diverses plataformes, com Facebook, YouTube i Telegram. Es creu que l'operació està supervisada per persones amb coneixements de l'idioma vietnamita.
Els clients potencials poden triar entre comprar accés a una botnet gestionada pels desenvolupadors del programari maliciós o adquirir el codi font per a ús personal o revenda. A més, els clients reben un bot de Telegram personalitzat dissenyat per gestionar l'extracció i el lliurament de credencials dels dispositius infectats.
Aquest programari maliciós, basat en el framework .NET, es difon a través d'enllaços compartits en publicacions de xarxes socials i plataformes de missatgeria instantània. Es disfressa intel·ligentment de programari legítim, com Microsoft Office o Acrobat Reader, enganyant els usuaris perquè instal·lin sense voler contingut maliciós de llocs web enganyosos.
El robatori de VietCredCare podria comprometre les dades sensibles
El VietCredCare Stealer es distingeix de la resta d'amenaces de programari maliciós robador amb la seva característica destacada d'extreure credencials, galetes i identificadors de sessió de navegadors web coneguts com Google Chrome, Microsoft Edge i Cốc Cốc, subratllant el seu enfocament en el context vietnamita.
Més enllà d'això, es fa un pas més enllà recuperant l'adreça IP d'una víctima, discernir si un compte de Facebook està associat a un perfil d'empresa i avaluar si el compte gestiona actualment algun anunci. Simultàniament, utilitza tàctiques d'evasió per evitar la detecció, com ara desactivar la interfície d'escaneig antimalware de Windows (AMSI) i afegir-se a la llista d'exclusió de l'antivirus Windows Defender.
La funcionalitat bàsica de VietCredCare, especialment la seva competència per filtrar les credencials de Facebook, suposa un risc important per a les organitzacions tant del sector públic com privat. Si es comprometen els comptes sensibles, pot comportar greus conseqüències financeres i reputacionals. Els objectius d'aquest programari maliciós robador inclouen credencials de diverses entitats, incloses agències governamentals, universitats, plataformes de comerç electrònic, bancs i empreses vietnamites.
Diverses amenaces de robatoris han sorgit de grups cibercriminals vietnamites
VietCredCare s'uneix a les files de programari maliciós robatori originari de l'ecosistema cibercriminal vietnamita, al costat de predecessors com Ducktail i NodeStealer, tots dissenyats específicament per orientar els comptes de Facebook.
Malgrat el seu origen compartit, els experts encara no han establert un vincle concret entre aquestes diverses varietats de robatoris. Ducktail presenta funcions diferents i, tot i que existeixen algunes similituds amb NodeStealer, aquest últim divergeix utilitzant un servidor Command-and-Control (C2) en lloc de Telegram, amb diferències en els seus perfils de víctimes objectiu.
No obstant això, el model de negoci SaaS ofereix una via per als actors d'amenaça amb una experiència tècnica mínima per participar en la ciberdelinqüència. Aquesta accessibilitat contribueix a augmentar el nombre de víctimes innocents que són víctima d'activitats tan nocives.
