VietCredCare Stealer

از آگوست 2022، تبلیغ کنندگان فیس بوک در ویتنام توسط یک دزد اطلاعات ناشناس به نام VietCredCare مورد حمله قرار گرفته اند. این بدافزار به‌خاطر توانایی‌اش برای بررسی خودکار کوکی‌های جلسه فیس‌بوک و اعتبارنامه‌هایی که از دستگاه‌های در معرض خطر سرقت شده‌اند، متمایز است. پس از آن، ارزیابی می کند که آیا حساب های هدف بر نمایه های تجاری نظارت دارند و دارای مانده اعتبار تبلیغاتی متا مطلوب هستند یا خیر.

هدف نهایی این کمپین حمله گسترده بدافزار، فعال کردن تصرف غیرمجاز حساب‌های فیسبوک شرکت‌ها است. تمرکز بر روی افرادی در ویتنام است که نمایه های فیس بوک مشاغل و سازمان های برجسته را مدیریت می کنند. پس از به خطر افتادن موفقیت آمیز، این حساب های فیس بوک توقیف شده به ابزاری برای عوامل تهدید در پشت عملیات تبدیل می شوند. آن‌ها از این حساب‌ها برای انتشار محتوای سیاسی یا ترویج فیشینگ و کلاهبرداری‌های وابسته استفاده می‌کنند و در نهایت هدفشان سود مالی است.

VietCredCare Stealer برای فروش به دیگر مجرمان Cryber ارائه شده است

VietCredCare به عنوان یک Stealer-as-a-Service (SaaS) عمل می کند، و در دسترس بودن آن به مجرمان سایبری مشتاق گسترش می یابد. تبلیغات این سرویس در پلتفرم های مختلفی از جمله فیسبوک، یوتیوب و تلگرام قابل مشاهده است. اعتقاد بر این است که این عملیات توسط افراد مسلط به زبان ویتنامی نظارت می شود.

مشتریان بالقوه می توانند بین خرید دسترسی به بات نت مدیریت شده توسط توسعه دهندگان بدافزار یا دریافت کد منبع برای استفاده شخصی یا فروش مجدد یکی را انتخاب کنند. علاوه بر این، به مشتریان یک ربات تلگرام سفارشی داده می شود که برای استخراج و تحویل اعتبار از دستگاه های آلوده طراحی شده است.

این بدافزار که بر روی چارچوب دات نت ساخته شده است، از طریق پیوندهای به اشتراک گذاشته شده در پست های رسانه های اجتماعی و پلتفرم های پیام رسانی فوری منتشر می شود. این نرم افزار هوشمندانه خود را به عنوان نرم افزار قانونی، مانند Microsoft Office یا Acrobat Reader پنهان می کند و کاربران را فریب می دهد تا ناخواسته محتوای مخرب را از وب سایت های فریبنده نصب کنند.

VietCredCare Stealer می تواند داده های حساس را به خطر بیندازد

VietCredCare Stealer با ویژگی برجسته خود در استخراج اعتبار، کوکی‌ها و شناسه جلسه از مرورگرهای وب معروف مانند Google Chrome، Microsoft Edge و Cốc Cốc، خود را از بقیه تهدیدات بدافزار دزد متمایز می‌کند و بر تمرکز آن بر زمینه ویتنامی تأکید می‌کند.

فراتر از این، با بازیابی آدرس IP قربانی، تشخیص اینکه آیا یک حساب فیس بوک با نمایه تجاری مرتبط است یا خیر، و ارزیابی اینکه آیا حساب در حال حاضر هر گونه تبلیغات را مدیریت می کند یا خیر، یک قدم فراتر می رود. به طور همزمان، از تاکتیک‌های فرار برای جلوگیری از شناسایی استفاده می‌کند، مانند غیرفعال کردن رابط اسکن ضد بدافزار ویندوز (AMSI) و اضافه کردن خود به لیست محرومیت‌های آنتی ویروس Windows Defender.

عملکرد اصلی VietCredCare، به ویژه مهارت آن در فیلتر کردن اعتبار فیس بوک، خطر قابل توجهی برای سازمان ها در بخش عمومی و خصوصی ایجاد می کند. اگر حساب های حساس به خطر بیفتد، می تواند منجر به عواقب شدید اعتبار و مالی شود. اهداف این بدافزار دزد شامل اعتبارنامه‌های نهادهای مختلف از جمله سازمان‌های دولتی، دانشگاه‌ها، پلتفرم‌های تجارت الکترونیک، بانک‌ها و شرکت‌های ویتنامی بوده است.

چندین تهدید دزدی از سوی گروه های مجرم سایبری ویتنامی ظاهر شده است

VietCredCare در کنار پیشینیان مانند Ducktail و NodeStealer که همگی به طور خاص برای هدف قرار دادن حساب‌های فیسبوک طراحی شده‌اند، به صف بدافزارهای دزدی می‌پیوندد که از اکوسیستم مجرمان سایبری ویتنامی سرچشمه می‌گیرند.

علیرغم منشأ مشترک آنها، کارشناسان هنوز ارتباط مشخصی بین این گونه های مختلف دزد ایجاد نکرده اند. Ducktail عملکردهای متمایزی را نشان می دهد، و در حالی که شباهت هایی با NodeStealer وجود دارد، دومی با استفاده از یک سرور Command-and-Control (C2) به جای تلگرام، با تفاوت هایی در پروفایل قربانی هدف آنها متفاوت است.

با این وجود، مدل کسب و کار SaaS راهی را برای عوامل تهدید با حداقل تخصص فنی فراهم می کند تا در جرایم سایبری شرکت کنند. این دسترسی به افزایش تعداد قربانیان بی گناهی که طعمه چنین فعالیت های مضری می شوند کمک می کند.