VietCredCare Stealer

מאז אוגוסט 2022, מפרסמי פייסבוק בווייטנאם הותקפו על ידי גנב מידע שלא זוהה בעבר בשם VietCredCare. תוכנה זדונית זו בולטת ביכולתה לסנן אוטומטית את קובצי ה-cookie והאישורים של הפעלת פייסבוק שנגנבו ממכשירים שנפגעו. לאחר מכן, הוא מעריך אם החשבונות הממוקדים מפקחים על פרופילים עסקיים ויש להם יתרת אשראי מיטה למודעות.

המטרה הסופית של מסע התקפת תוכנות זדוניות נרחב זה היא לאפשר השתלטות בלתי מורשית על חשבונות פייסבוק ארגוניים. ההתמקדות היא ביחידים בווייטנאם המנהלים את פרופילי הפייסבוק של עסקים וארגונים בולטים. לאחר שנפגעו בהצלחה, חשבונות פייסבוק שנתפסו אלה הופכים לכלים עבור גורמי האיום שמאחורי המבצע. הם משתמשים בחשבונות אלה כדי להפיץ תוכן פוליטי או לקדם הונאות דיוג והונאות שותפים, שבסופו של דבר מכוונים לרווח כספי.

הגנב של VietCredCare מוצע למכירה לפושעים אחרים

VietCredCare פועלת כ-Stealer-as-a-Service (SaaS), וזמינותו מגיעה לפושעי סייבר שאפתנים. פרסומות לשירות זה ניתן למצוא בפלטפורמות שונות, כולל פייסבוק, יוטיוב וטלגרם. על פי ההערכה, המבצע מפוקח על ידי אנשים הבקיאים בשפה הווייטנאמית.

לקוחות פוטנציאליים יכולים לבחור בין רכישת גישה לרשת בוט המנוהלת על ידי מפתחי התוכנה הזדונית או רכישת קוד המקור לשימוש אישי או למכירה חוזרת. בנוסף, לקוחות מסופקים עם בוט טלגרם מותאם אישית שנועד לטפל בחילוץ ומשלוח של אישורים ממכשירים נגועים.

תוכנה זדונית זו, הבנויה על מסגרת NET., מופצת באמצעות קישורים המשותפים בפוסטים במדיה חברתית ובפלטפורמות הודעות מיידיות. היא מסווה את עצמה בחוכמה לתוכנה לגיטימית, כמו Microsoft Office או Acrobat Reader, המרמה את המשתמשים להתקין בלי משים תוכן זדוני מאתרים מטעים.

הגנב של VietCredCare עלול לסכן נתונים רגישים

ה-VietCredCare Stealer מבדיל את עצמו משאר איומי תוכנות זדוניות של גנבים עם התכונה הבולטת שלו של חילוץ אישורים, קובצי Cookie ומזהי הפעלה מדפדפני אינטרנט ידועים כמו Google Chrome, Microsoft Edge ו-Cốc Cốc, מה שמדגיש את ההתמקדות שלו בהקשר הווייטנאמי.

מעבר לכך, הוא הולך צעד קדימה על ידי שליפת כתובת ה-IP של הקורבן, אבחנה אם חשבון פייסבוק משויך לפרופיל עסקי, והערכה האם החשבון מנהל כרגע פרסומות כלשהן. במקביל, היא משתמשת בטקטיקות התחמקות כדי למנוע זיהוי, כגון השבתת ממשק Windows Antimalware Scan (AMSI) והוספת עצמו לרשימת ההחרגות של Windows Defender Antivirus.

פונקציונליות הליבה של VietCredCare, במיוחד מיומנותה בסינון אישורי פייסבוק, מהווה סיכון משמעותי לארגונים הן במגזר הציבורי והן במגזר הפרטי. אם חשבונות רגישים נפגעים, זה יכול להוביל להשלכות מוניטין ופיננסיות חמורות. המטרות של תוכנה זדונית זו של הגנב כללו אישורים מגופים שונים, כולל סוכנויות ממשלתיות, אוניברסיטאות, פלטפורמות מסחר אלקטרוני, בנקים וחברות וייטנאמיות.

כמה איומי גנבים הופיעו מקבוצות פושעי סייבר וייטנאמיות

VietCredCare מצטרפת לשורות תוכנות זדוניות גונבות שמקורן באקו-סיסטם פושעי הסייבר הווייטנאמי, לצד קודמים כמו Ducktail ו- NodeStealer, כולם תוכננו במיוחד לטרגט חשבונות פייסבוק.

למרות מוצאם המשותף, מומחים טרם ביססו קשר קונקרטי בין זני הגנבים השונים הללו. Ducktail מציג פונקציות ברורות, ולמרות שקיימים קווי דמיון עם NodeStealer, האחרון מתפצל על ידי שימוש בשרת Command-and-Control (C2) במקום Telegram, עם הבדלים בפרופילים של קורבנות היעד שלהם.

עם זאת, המודל העסקי של SaaS מספק שדרה עבור שחקני איומים בעלי מומחיות טכנית מינימלית לעסוק בפשעי סייבר. נגישות זו תורמת לעלייה במספר הקורבנות התמימים הנופלים טרף לפעילויות מזיקות שכאלה.