VietCredCare Stealer
Από τον Αύγουστο του 2022, οι διαφημιστές του Facebook στο Βιετνάμ δέχθηκαν επίθεση από έναν μέχρι πρότινος άγνωστο κλέφτη πληροφοριών που ονομάζεται VietCredCare. Αυτό το κακόβουλο λογισμικό ξεχωρίζει για την ικανότητά του να διερευνά αυτόματα τα cookie περιόδου λειτουργίας Facebook και τα διαπιστευτήρια που έχουν κλαπεί από παραβιασμένες συσκευές. Στη συνέχεια, αξιολογεί εάν οι στοχευμένοι λογαριασμοί επιβλέπουν τα εταιρικά προφίλ και διαθέτουν ευνοϊκό πιστωτικό υπόλοιπο Meta Ad.
Ο απώτερος στόχος αυτής της εκτεταμένης εκστρατείας επίθεσης κακόβουλου λογισμικού είναι να επιτρέψει τη μη εξουσιοδοτημένη εξαγορά εταιρικών λογαριασμών στο Facebook. Η εστίαση είναι σε άτομα στο Βιετνάμ που διαχειρίζονται τα προφίλ διακεκριμένων επιχειρήσεων και οργανισμών στο Facebook. Μόλις παραβιαστούν επιτυχώς, αυτοί οι κατασχεθέντες λογαριασμοί Facebook γίνονται εργαλεία για τους παράγοντες απειλών πίσω από την επιχείρηση. Χρησιμοποιούν αυτούς τους λογαριασμούς για τη διάδοση πολιτικού περιεχομένου ή την προώθηση του phishing και τις απάτες συνεργατών, στοχεύοντας τελικά σε οικονομικό όφελος.
Πίνακας περιεχομένων
Το VietCredCare Stealer προσφέρεται προς πώληση σε άλλους Crybercriminals
Το VietCredCare λειτουργεί ως Stealer-as-a-Service (SaaS) και η διαθεσιμότητά του επεκτείνεται σε επίδοξους εγκληματίες στον κυβερνοχώρο. Διαφημίσεις για αυτήν την υπηρεσία μπορούν να βρεθούν σε διάφορες πλατφόρμες, όπως το Facebook, το YouTube και το Telegram. Η επιχείρηση πιστεύεται ότι επιβλέπεται από άτομα που γνωρίζουν τη βιετναμέζικη γλώσσα.
Οι υποψήφιοι πελάτες μπορούν να επιλέξουν μεταξύ της αγοράς πρόσβασης σε ένα botnet που διαχειρίζονται οι προγραμματιστές του κακόβουλου λογισμικού ή της απόκτησης του πηγαίου κώδικα για προσωπική χρήση ή μεταπώληση. Επιπλέον, οι πελάτες παρέχονται με ένα προσαρμοσμένο bot Telegram που έχει σχεδιαστεί για να χειρίζεται την εξαγωγή και την παράδοση διαπιστευτηρίων από μολυσμένες συσκευές.
Αυτό το κακόβουλο λογισμικό, που βασίζεται στο πλαίσιο .NET, διαδίδεται μέσω συνδέσμων που κοινοποιούνται σε αναρτήσεις μέσων κοινωνικής δικτύωσης και σε πλατφόρμες ανταλλαγής άμεσων μηνυμάτων. Μεταμφιέζεται έξυπνα ως νόμιμο λογισμικό, όπως το Microsoft Office ή το Acrobat Reader, εξαπατώντας τους χρήστες να εγκαταστήσουν άθελά τους κακόβουλο περιεχόμενο από παραπλανητικούς ιστότοπους.
Το VietCredCare Stealer θα μπορούσε να θέσει σε κίνδυνο ευαίσθητα δεδομένα
Το VietCredCare Stealer διακρίνεται από τις υπόλοιπες απειλές κακόβουλου λογισμικού κλοπής με την εξέχουσα δυνατότητα εξαγωγής διαπιστευτηρίων, cookie και αναγνωριστικών περιόδου σύνδεσης από γνωστά προγράμματα περιήγησης Ιστού όπως το Google Chrome, το Microsoft Edge και το Cốc Cốc, υπογραμμίζοντας την εστίασή του στο βιετναμέζικο περιβάλλον.
Πέρα από αυτό, προχωρά ένα βήμα παραπέρα ανακτώντας τη διεύθυνση IP ενός θύματος, διακρίνοντας εάν ένας λογαριασμός Facebook σχετίζεται με ένα επαγγελματικό προφίλ και αξιολογώντας εάν ο λογαριασμός διαχειρίζεται αυτήν τη στιγμή τυχόν διαφημίσεις. Ταυτόχρονα, χρησιμοποιεί τακτικές αποφυγής για να αποφύγει τον εντοπισμό, όπως η απενεργοποίηση της διεπαφής σάρωσης προστασίας από κακόβουλο λογισμικό των Windows (AMSI) και η προσθήκη του στη λίστα εξαιρέσεων του Windows Defender Antivirus.
Η βασική λειτουργικότητα του VietCredCare, ιδιαίτερα η επάρκειά του στο φιλτράρισμα των διαπιστευτηρίων του Facebook, ενέχει σημαντικό κίνδυνο για οργανισμούς τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Εάν τεθούν σε κίνδυνο ευαίσθητοι λογαριασμοί, μπορεί να οδηγήσει σε σοβαρές συνέπειες για τη φήμη και τις οικονομικές επιπτώσεις. Στους στόχους αυτού του κακόβουλου λογισμικού κλοπής περιλαμβάνονται διαπιστευτήρια από διάφορες οντότητες, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών, πανεπιστημίων, πλατφορμών ηλεκτρονικού εμπορίου, τραπεζών και εταιρειών του Βιετνάμ.
Έχουν προκύψει αρκετές απειλές κλοπής από βιετναμέζικες κυβερνοεγκληματικές ομάδες
Το VietCredCare εντάσσεται στις τάξεις του κακόβουλου λογισμικού κλοπής που προέρχεται από το βιετναμέζικο κυβερνοεγκληματικό οικοσύστημα, μαζί με προκατόχους όπως το Ducktail και το NodeStealer, όλα ειδικά σχεδιασμένα για να στοχεύουν λογαριασμούς Facebook.
Παρά την κοινή προέλευσή τους, οι ειδικοί δεν έχουν ακόμη δημιουργήσει μια συγκεκριμένη σύνδεση μεταξύ αυτών των διαφόρων στελεχών κλέφτη. Το Ducktail παρουσιάζει ξεχωριστές λειτουργίες και ενώ υπάρχουν κάποιες ομοιότητες με το NodeStealer, το τελευταίο αποκλίνει χρησιμοποιώντας έναν διακομιστή Command-and-Control (C2) αντί για Telegram, με διαφορές στα προφίλ των θυμάτων-στόχων τους.
Ωστόσο, το επιχειρηματικό μοντέλο SaaS παρέχει μια λεωφόρο για τους φορείς απειλών με ελάχιστη τεχνική εξειδίκευση για να εμπλακούν στο έγκλημα στον κυβερνοχώρο. Αυτή η προσβασιμότητα συμβάλλει στην αύξηση του αριθμού των αθώων θυμάτων που πέφτουν θύματα τέτοιων επιβλαβών δραστηριοτήτων.
