VietCredCare Stealer
از آگوست 2022، تبلیغ کنندگان فیس بوک در ویتنام توسط یک دزد اطلاعات ناشناس به نام VietCredCare مورد حمله قرار گرفته اند. این بدافزار بهخاطر تواناییاش برای بررسی خودکار کوکیهای جلسه فیسبوک و اعتبارنامههایی که از دستگاههای در معرض خطر سرقت شدهاند، متمایز است. پس از آن، ارزیابی می کند که آیا حساب های هدف بر نمایه های تجاری نظارت دارند و دارای مانده اعتبار تبلیغاتی متا مطلوب هستند یا خیر.
هدف نهایی این کمپین حمله گسترده بدافزار، فعال کردن تصرف غیرمجاز حسابهای فیسبوک شرکتها است. تمرکز بر روی افرادی در ویتنام است که نمایه های فیس بوک مشاغل و سازمان های برجسته را مدیریت می کنند. پس از به خطر افتادن موفقیت آمیز، این حساب های فیس بوک توقیف شده به ابزاری برای عوامل تهدید در پشت عملیات تبدیل می شوند. آنها از این حسابها برای انتشار محتوای سیاسی یا ترویج فیشینگ و کلاهبرداریهای وابسته استفاده میکنند و در نهایت هدفشان سود مالی است.
فهرست مطالب
VietCredCare Stealer برای فروش به دیگر مجرمان Cryber ارائه شده است
VietCredCare به عنوان یک Stealer-as-a-Service (SaaS) عمل می کند، و در دسترس بودن آن به مجرمان سایبری مشتاق گسترش می یابد. تبلیغات این سرویس در پلتفرم های مختلفی از جمله فیسبوک، یوتیوب و تلگرام قابل مشاهده است. اعتقاد بر این است که این عملیات توسط افراد مسلط به زبان ویتنامی نظارت می شود.
مشتریان بالقوه می توانند بین خرید دسترسی به بات نت مدیریت شده توسط توسعه دهندگان بدافزار یا دریافت کد منبع برای استفاده شخصی یا فروش مجدد یکی را انتخاب کنند. علاوه بر این، به مشتریان یک ربات تلگرام سفارشی داده می شود که برای استخراج و تحویل اعتبار از دستگاه های آلوده طراحی شده است.
این بدافزار که بر روی چارچوب دات نت ساخته شده است، از طریق پیوندهای به اشتراک گذاشته شده در پست های رسانه های اجتماعی و پلتفرم های پیام رسانی فوری منتشر می شود. این نرم افزار هوشمندانه خود را به عنوان نرم افزار قانونی، مانند Microsoft Office یا Acrobat Reader پنهان می کند و کاربران را فریب می دهد تا ناخواسته محتوای مخرب را از وب سایت های فریبنده نصب کنند.
VietCredCare Stealer می تواند داده های حساس را به خطر بیندازد
VietCredCare Stealer با ویژگی برجسته خود در استخراج اعتبار، کوکیها و شناسه جلسه از مرورگرهای وب معروف مانند Google Chrome، Microsoft Edge و Cốc Cốc، خود را از بقیه تهدیدات بدافزار دزد متمایز میکند و بر تمرکز آن بر زمینه ویتنامی تأکید میکند.
فراتر از این، با بازیابی آدرس IP قربانی، تشخیص اینکه آیا یک حساب فیس بوک با نمایه تجاری مرتبط است یا خیر، و ارزیابی اینکه آیا حساب در حال حاضر هر گونه تبلیغات را مدیریت می کند یا خیر، یک قدم فراتر می رود. به طور همزمان، از تاکتیکهای فرار برای جلوگیری از شناسایی استفاده میکند، مانند غیرفعال کردن رابط اسکن ضد بدافزار ویندوز (AMSI) و اضافه کردن خود به لیست محرومیتهای آنتی ویروس Windows Defender.
عملکرد اصلی VietCredCare، به ویژه مهارت آن در فیلتر کردن اعتبار فیس بوک، خطر قابل توجهی برای سازمان ها در بخش عمومی و خصوصی ایجاد می کند. اگر حساب های حساس به خطر بیفتد، می تواند منجر به عواقب شدید اعتبار و مالی شود. اهداف این بدافزار دزد شامل اعتبارنامههای نهادهای مختلف از جمله سازمانهای دولتی، دانشگاهها، پلتفرمهای تجارت الکترونیک، بانکها و شرکتهای ویتنامی بوده است.
چندین تهدید دزدی از سوی گروه های مجرم سایبری ویتنامی ظاهر شده است
VietCredCare در کنار پیشینیان مانند Ducktail و NodeStealer که همگی به طور خاص برای هدف قرار دادن حسابهای فیسبوک طراحی شدهاند، به صف بدافزارهای دزدی میپیوندد که از اکوسیستم مجرمان سایبری ویتنامی سرچشمه میگیرند.
علیرغم منشأ مشترک آنها، کارشناسان هنوز ارتباط مشخصی بین این گونه های مختلف دزد ایجاد نکرده اند. Ducktail عملکردهای متمایزی را نشان می دهد، و در حالی که شباهت هایی با NodeStealer وجود دارد، دومی با استفاده از یک سرور Command-and-Control (C2) به جای تلگرام، با تفاوت هایی در پروفایل قربانی هدف آنها متفاوت است.
با این وجود، مدل کسب و کار SaaS راهی را برای عوامل تهدید با حداقل تخصص فنی فراهم می کند تا در جرایم سایبری شرکت کنند. این دسترسی به افزایش تعداد قربانیان بی گناهی که طعمه چنین فعالیت های مضری می شوند کمک می کند.