VietCredCare Stealer
Siden august 2022 er Facebook-annoncører i Vietnam blevet angrebet af en tidligere uidentificeret informationstyver kaldet VietCredCare. Denne malware skiller sig ud for dens evne til automatisk at gennemsøge Facebook-sessionscookies og legitimationsoplysninger, der er stjålet fra kompromitterede enheder. Derefter evaluerer den, om de målrettede konti overvåger forretningsprofiler og har en gunstig Meta-annoncekreditsaldo.
Det ultimative formål med denne udbredte malware-angrebskampagne er at muliggøre uautoriseret overtagelse af virksomheders Facebook-konti. Fokus er på personer i Vietnam, der administrerer Facebook-profiler for fremtrædende virksomheder og organisationer. Når de er blevet kompromitteret, bliver disse beslaglagte Facebook-konti værktøjer for trusselsaktørerne bag operationen. De bruger disse konti til at formidle politisk indhold eller promovere phishing og affiliate-svindel, i sidste ende sigter mod økonomisk vinding.
Indholdsfortegnelse
VietCredCare Stealer udbydes til salg til andre kryberkriminelle
VietCredCare fungerer som en Stealer-as-a-Service (SaaS), og dets tilgængelighed strækker sig til håbefulde cyberkriminelle. Annoncer for denne tjeneste kan findes på forskellige platforme, herunder Facebook, YouTube og Telegram. Operationen menes at blive overvåget af personer, der er dygtige til det vietnamesiske sprog.
Potentielle kunder kan vælge mellem at købe adgang til et botnet, der administreres af malwarens udviklere eller at anskaffe kildekoden til personlig brug eller videresalg. Derudover får kunderne en tilpasset Telegram-bot designet til at håndtere udvinding og levering af legitimationsoplysninger fra inficerede enheder.
Denne malware, der er bygget på .NET-rammeværket, spredes gennem links, der deles i opslag på sociale medier og platforme til onlinemeddelelser. Den forklæder sig smart som legitim software, såsom Microsoft Office eller Acrobat Reader, der narre brugere til uforvarende at installere ondsindet indhold fra vildledende websteder.
VietCredCare Stealer kan kompromittere følsomme data
VietCredCare Stealer adskiller sig fra resten af tyverens malware-trusler med dens fremtrædende egenskab ved at udtrække legitimationsoplysninger, cookies og sessions-id'er fra velkendte webbrowsere som Google Chrome, Microsoft Edge og Cốc Cốc, hvilket understreger dets fokus på den vietnamesiske kontekst.
Ud over dette går det et skridt videre ved at hente et offers IP-adresse, se, om en Facebook-konto er knyttet til en virksomhedsprofil, og vurdere, om kontoen i øjeblikket administrerer nogen annoncer. Samtidigt anvender den unddragelsestaktikker for at undgå opdagelse, såsom at deaktivere Windows Antimalware Scan Interface (AMSI) og tilføje sig selv til ekskluderingslisten for Windows Defender Antivirus.
Kernefunktionaliteten i VietCredCare, især dens færdigheder i at filtrere Facebook-legitimationsoplysninger fra, udgør en betydelig risiko for organisationer i både den offentlige og private sektor. Hvis følsomme konti kompromitteres, kan det føre til alvorlige omdømmemæssige og økonomiske konsekvenser. Målene for denne stjæler-malware har inkluderet legitimationsoplysninger fra forskellige enheder, herunder offentlige myndigheder, universiteter, e-handelsplatforme, banker og vietnamesiske virksomheder.
Adskillige tyveretrusler er dukket op fra vietnamesiske cyberkriminelle grupper
VietCredCare slutter sig til rækken af tyveri-malware, der stammer fra det vietnamesiske cyberkriminelle økosystem, sammen med forgængere som Ducktail og NodeStealer, alle specifikt designet til at målrette mod Facebook-konti.
På trods af deres fælles oprindelse, har eksperter endnu ikke etableret en konkret forbindelse mellem disse forskellige tyverstammer. Ducktail udviser forskellige funktioner, og selvom der findes nogle ligheder med NodeStealer, afviger sidstnævnte ved at bruge en Command-and-Control-server (C2) i stedet for Telegram, med forskelle i deres målofferprofiler.
Ikke desto mindre giver SaaS-forretningsmodellen en mulighed for trusselsaktører med minimal teknisk ekspertise til at engagere sig i cyberkriminalitet. Denne tilgængelighed bidrager til en stigning i antallet af uskyldige ofre, der bliver ofre for sådanne skadelige aktiviteter.
