VietCredCare Stealer
Od srpna 2022 byli inzerenti Facebooku ve Vietnamu napadeni dříve neidentifikovaným zlodějem informací jménem VietCredCare. Tento malware vyniká svou schopností automaticky probírat soubory cookie relace Facebooku a přihlašovací údaje ukradené z napadených zařízení. Poté vyhodnotí, zda cílené účty dohlížejí na obchodní profily a mají příznivý zůstatek meta reklamy.
Konečným cílem této rozsáhlé kampaně proti malwarovému útoku je umožnit neoprávněné převzetí firemních účtů na Facebooku. Důraz je kladen na jednotlivce ve Vietnamu, kteří spravují facebookové profily významných podniků a organizací. Jakmile jsou tyto zabavené účty na Facebooku úspěšně kompromitovány, stanou se nástroji pro aktéry hrozeb za operací. Tyto účty využívají k šíření politického obsahu nebo k propagaci phishingu a přidružených podvodů, jejichž cílem je v konečném důsledku finanční zisk.
Obsah
VietCredCare Stealer je nabízen k prodeji dalším kyberzločincům
VietCredCare funguje jako Stealer-as-a-Service (SaaS) a jeho dostupnost se rozšiřuje i na začínající kyberzločince. Reklamy na tuto službu lze nalézt na různých platformách, včetně Facebooku, YouTube a Telegramu. Předpokládá se, že na operaci dohlížejí jednotlivci ovládající vietnamský jazyk.
Potenciální zákazníci si mohou vybrat mezi zakoupením přístupu k botnetu spravovanému vývojáři malwaru nebo získáním zdrojového kódu pro osobní použití nebo dalším prodejem. Zákazníkům je navíc dodáván přizpůsobený robot Telegram navržený tak, aby zvládl extrakci a doručení přihlašovacích údajů z infikovaných zařízení.
Tento malware, postavený na .NET frameworku, se šíří prostřednictvím odkazů sdílených v příspěvcích na sociálních sítích a platformách pro rychlé zasílání zpráv. Chytře se maskuje jako legitimní software, jako je Microsoft Office nebo Acrobat Reader, a klame uživatele, aby si nevědomky nainstalovali škodlivý obsah z klamavých webových stránek.
VietCredCare Stealer by mohl ohrozit citlivá data
VietCredCare Stealer se odlišuje od ostatních zlodějských malwarových hrozeb svou prominentní funkcí extrahování přihlašovacích údajů, souborů cookie a ID relací ze známých webových prohlížečů, jako je Google Chrome, Microsoft Edge a Cốc Cốc, což podtrhuje jeho zaměření na vietnamský kontext.
Kromě toho jde ještě o krok dále tím, že získá IP adresu oběti, zjistí, zda je účet na Facebooku spojen s firemním profilem, a vyhodnotí, zda účet aktuálně spravuje nějaké reklamy. Současně používá taktiku úniku, aby se vyhnul detekci, jako je deaktivace rozhraní Windows Antimalware Scan Interface (AMSI) a přidání se na seznam vyloučení antivirového programu Windows Defender.
Základní funkce VietCredCare, zejména její odbornost ve filtrování přihlašovacích údajů k Facebooku, představuje značné riziko pro organizace ve veřejném i soukromém sektoru. Pokud jsou citlivé účty kompromitovány, může to vést k vážným reputačním a finančním důsledkům. Mezi cíle tohoto zlodějského malwaru patří přihlašovací údaje od různých subjektů, včetně vládních agentur, univerzit, platforem elektronického obchodu, bank a vietnamských společností.
Od vietnamských skupin kyberzločinců se objevilo několik zlodějských hrozeb
VietCredCare se připojuje k řadám zlodějského malwaru pocházejícího z vietnamského kyberzločineckého ekosystému spolu s předchůdci jako Ducktail a NodeStealer, všechny speciálně navržené pro cílení na účty na Facebooku.
Navzdory jejich společnému původu musí odborníci ještě vytvořit konkrétní spojení mezi těmito různými kmeny zlodějů. Ducktail vykazuje odlišné funkce, a přestože existují určité podobnosti s NodeStealer, ten se liší tím, že místo telegramu používá server Command-and-Control (C2), s rozdíly v profilech cílových obětí.
Nicméně obchodní model SaaS poskytuje cestu pro aktéry hrozeb s minimálními technickými znalostmi, jak se zapojit do kyberzločinu. Tato dostupnost přispívá ke zvýšení počtu nevinných obětí, které se staly obětí těchto škodlivých činností.
