VietCredCare Stealer
Elokuusta 2022 lähtien Vietnamin Facebook-mainostajia vastaan on hyökännyt aiemmin tuntematon VietCredCare-niminen tietovarastaja. Tämä haittaohjelma erottuu kyvystään selata automaattisesti Facebook-istuntoevästeitä ja vaarantuneista laitteista varastettuja tunnistetietoja. Myöhemmin se arvioi, valvovatko kohdetilit yritysprofiileja ja onko niillä suotuisa Meta-mainossaldo.
Tämän laajalle levinneen haittaohjelmahyökkäyskampanjan perimmäisenä tavoitteena on mahdollistaa yritysten Facebook-tilien luvaton haltuunotto. Painopiste on vietnamilaisissa henkilöissä, jotka hallinnoivat tunnettujen yritysten ja organisaatioiden Facebook-profiileja. Kun nämä takavarikoidut Facebook-tilit on onnistuneesti vaarantunut, niistä tulee työkaluja operaation takana oleville uhkatoimijoille. He käyttävät näitä tilejä poliittisen sisällön levittämiseen tai tietojenkalastelu- ja sidosyrityshuijausten edistämiseen pyrkien viime kädessä taloudelliseen hyötyyn.
Sisällysluettelo
VietCredCare Stealeri tarjotaan myytäväksi muille kryberrikollisille
VietCredCare toimii Stealer-as-a-Service (SaaS) -palveluna, ja sen saatavuus ulottuu pyrkiville kyberrikollisille. Tämän palvelun mainoksia löytyy useilta alustoilta, mukaan lukien Facebook, YouTube ja Telegram. Operaation uskotaan olevan vietnamin kielen taitavien henkilöiden valvonnassa.
Mahdolliset asiakkaat voivat valita, ostavatko he pääsyn haittaohjelman kehittäjien hallinnoimaan botnet-verkkoon vai hankkivatko lähdekoodin henkilökohtaiseen käyttöön tai jälleenmyyntiin. Lisäksi asiakkaille toimitetaan räätälöity Telegram-botti, joka on suunniteltu käsittelemään tunnistetietojen poimimista ja toimittamista tartunnan saaneista laitteista.
Tämä .NET-kehykseen rakennettu haittaohjelma leviää sosiaalisen median viesteissä ja pikaviestintäalustoissa jaettujen linkkien kautta. Se naamioi itsensä ovelasti laillisiksi ohjelmistoiksi, kuten Microsoft Office tai Acrobat Reader, ja huijaa käyttäjiä asentamaan tahattomasti haitallista sisältöä petollisilta verkkosivustoilta.
VietCredCare Stealer voi vaarantaa arkaluonteiset tiedot
VietCredCare Stealer erottuu muista varastaja-haittaohjelmauhista sillä, että se poimii tunnistetiedot, evästeet ja istuntotunnukset tunnetuista selaimista, kuten Google Chrome, Microsoft Edge ja Cốc Cốc, mikä korostaa sen keskittymistä Vietnamin kontekstiin.
Tämän lisäksi se menee askeleen pidemmälle hakemalla uhrin IP-osoitteen, havaitsemalla, liittyykö Facebook-tili yritysprofiiliin, ja arvioimalla, hallinnoiko tili tällä hetkellä mainoksia. Samanaikaisesti se käyttää kiertotaktiikoita havaitsemisen välttämiseksi, kuten Windows Antimalware Scan Interfacen (AMSI) poistaminen käytöstä ja itsensä lisääminen Windows Defender Antivirus -ohjelman poissulkemisluetteloon.
VietCredCaren ydintoiminnot, erityisesti sen kyky suodattaa Facebook-tunnistetiedot, muodostaa merkittävän riskin organisaatioille sekä julkisella että yksityisellä sektorilla. Jos arkaluonteiset tilit vaarantuvat, se voi johtaa vakaviin maineeseen ja taloudellisiin seurauksiin. Tämän varastaja-haittaohjelman kohteina ovat olleet valtuustiedot eri tahoilta, mukaan lukien valtion virastot, yliopistot, sähköisen kaupankäynnin alustat, pankit ja vietnamilaiset yritykset.
Vietnamilaisista kyberrikollisryhmistä on noussut esiin useita varkausuhkia
VietCredCare liittyy Vietnamin kyberrikollisesta ekosysteemistä peräisin olevien varastajien haittaohjelmien joukkoon edeltäjiensä, kuten Ducktail ja NodeStealer, rinnalla, jotka kaikki on suunniteltu erityisesti Facebook-tileihin kohdistamiseen.
Huolimatta niiden yhteisestä alkuperästä, asiantuntijat eivät ole vielä löytäneet konkreettista yhteyttä näiden erilaisten stealer-kantojen välille. Ducktaililla on erillisiä toimintoja, ja vaikka joitakin yhtäläisyyksiä NodeStealerin kanssa on, jälkimmäinen eroaa käyttämällä Command-and-Control (C2) -palvelinta Telegramin sijaan, ja niiden kohdeuhriprofiileissa on eroja.
SaaS-liiketoimintamalli tarjoaa kuitenkin väylän uhkatoimijoille, joilla on vain vähän teknistä asiantuntemusta, ryhtyä kyberrikollisuuteen. Tämä saavutettavuus lisää tällaisten haitallisten toimien uhreiksi joutuvien viattomien uhrien määrää.
