VietCredCare Stealer
Alates 2022. aasta augustist on Facebooki reklaamijaid Vietnamis rünnanud seni tuvastamata teabevarastaja nimega VietCredCare. See pahavara paistab silma selle poolest, et suudab automaatselt läbi sõeluda Facebooki seansi küpsiseid ja rikutud seadmetest varastatud mandaate. Seejärel hindab see, kas sihitud kontod jälgivad ettevõtte profiile ja kas neil on soodne metareklaami krediidi saldo.
Selle laialt levinud pahavararünnaku kampaania lõppeesmärk on võimaldada ettevõtete Facebooki kontode volitamata ülevõtmist. Tähelepanu keskmes on Vietnamis elavad isikud, kes haldavad silmapaistvate ettevõtete ja organisatsioonide Facebooki profiile. Kui need konfiskeeritud Facebooki kontod on edukalt ohustatud, muutuvad need operatsiooni taga olevate ohus osalejate tööriistadeks. Nad kasutavad neid kontosid poliitilise sisu levitamiseks või andmepüügi ja sidusettevõtete pettuste propageerimiseks, eesmärgiga saada rahalist kasu.
Sisukord
VietCredCare Stealer pakutakse müügiks teistele krüberkurjategijatele
VietCredCare tegutseb Stealer-as-a-Servicena (SaaS) ja selle kättesaadavus laieneb ka küberkurjategijatele. Selle teenuse reklaame võib leida erinevatel platvormidel, sealhulgas Facebookis, YouTube'is ja Telegramis. Arvatakse, et operatsiooni juhivad vietnami keelt valdavad isikud.
Võimalikud kliendid saavad valida, kas osta juurdepääs pahavara arendajate hallatavale robotvõrgule või hankida lähtekood isiklikuks kasutamiseks või edasimüümiseks. Lisaks tarnitakse klientidele kohandatud Telegrami robotit, mis on loodud nakatunud seadmetest mandaatide ekstraheerimiseks ja edastamiseks.
Seda .NET-i raamistikule üles ehitatud pahavara levitatakse sotsiaalmeedia postitustes ja kiirsõnumiplatvormidel jagatud linkide kaudu. See maskeerib end nutikalt seaduslikuks tarkvaraks, nagu Microsoft Office või Acrobat Reader, meelitades kasutajaid tahtmatult installima pahatahtlikku sisu petlikelt veebisaitidelt.
VietCredCare Stealer võib tundlikke andmeid ohustada
VietCredCare Stealer eristub teistest varastamisohtudest selle silmapaistva funktsiooniga, mis võimaldab hankida mandaadid, küpsised ja seansi ID-d tuntud veebibrauseritest, nagu Google Chrome, Microsoft Edge ja Cốc Cốc, rõhutades selle keskendumist Vietnami kontekstile.
Peale selle läheb see sammu võrra kaugemale, hankides ohvri IP-aadressi, tuvastades, kas Facebooki konto on seotud ettevõtte profiiliga, ja hinnates, kas konto haldab praegu reklaame. Samal ajal kasutab see tuvastamise vältimiseks kõrvalehoidmistaktikat, näiteks keelab Windowsi pahavaratõrjeliidese (AMSI) ja lisab end Windows Defenderi viirusetõrje välistamisloendisse.
VietCredCare'i põhifunktsioonid, eriti selle oskus Facebooki mandaatide välja filtreerimisel, kujutavad endast märkimisväärset ohtu nii avaliku kui ka erasektori organisatsioonidele. Tundlike kontode ohtu sattumine võib kaasa tuua tõsiseid mainet ja rahalisi tagajärgi. Selle varastatava pahavara sihtmärgid on hõlmanud erinevate üksuste, sealhulgas valitsusasutuste, ülikoolide, e-kaubanduse platvormide, pankade ja Vietnami ettevõtete mandaate.
Vietnami küberkurjategijate rühmitustest on esile kerkinud mitu varastamisohtu
VietCredCare liitub Vietnami küberkurjategijate ökosüsteemist pärit varastamisründevaraga koos eelkäijatega nagu Ducktail ja NodeStealer, mis kõik on spetsiaalselt loodud Facebooki kontode sihtimiseks.
Vaatamata nende ühisele päritolule ei ole eksperdid nende erinevate varastajatüvede vahel veel konkreetset seost loonud. Ducktailil on erinevad funktsioonid ja kuigi NodeStealeriga on mõningaid sarnasusi, erineb viimane, kasutades Telegrami asemel käsu- ja juhtimisserverit (C2), mille ohvriprofiilides on erinevusi.
Sellegipoolest pakub SaaS-i ärimudel minimaalsete tehniliste teadmistega ohus osalejatele võimaluse küberkuritegevusega tegelemiseks. See juurdepääsetavus aitab kaasa selliste kahjulike tegevuste ohvriks langevate süütute ohvrite arvu suurenemisele.
