VietCredCare Stealer
Od kolovoza 2022. Facebook oglašivače u Vijetnamu napao je prethodno neidentificirani kradljivac informacija pod nazivom VietCredCare. Ovaj zlonamjerni softver ističe se svojom sposobnošću da automatski pregleda kolačiće Facebook sesije i vjerodajnice ukradene s kompromitiranih uređaja. Nakon toga procjenjuje nadziru li ciljani računi poslovne profile i imaju li povoljan Meta kreditni saldo.
Krajnji cilj ove raširene kampanje napada zlonamjernim softverom je omogućiti neovlašteno preuzimanje korporativnih Facebook računa. Fokus je na pojedincima u Vijetnamu koji upravljaju Facebook profilima istaknutih tvrtki i organizacija. Nakon što su uspješno kompromitirani, ovi zaplijenjeni Facebook računi postaju alati za prijetnje koje stoje iza operacije. Oni koriste te račune za širenje političkog sadržaja ili promicanje krađe identiteta i prijevare povezanih partnera, s konačnim ciljem financijske dobiti.
Sadržaj
VietCredCare Stealer nudi se na prodaju drugim Cryber kriminalcima
VietCredCare djeluje kao Stealer-as-a-Service (SaaS), a njegova dostupnost proširuje se i na ambiciozne kibernetičke kriminalce. Oglasi za ovu uslugu mogu se pronaći na raznim platformama, uključujući Facebook, YouTube i Telegram. Vjeruje se da operaciju nadziru pojedinci koji dobro govore vijetnamski jezik.
Potencijalni kupci mogu birati između kupnje pristupa botnetu kojim upravljaju programeri zlonamjernog softvera ili kupnje izvornog koda za osobnu upotrebu ili preprodaju. Osim toga, korisnici dobivaju prilagođeni Telegram bot dizajniran za rukovanje ekstrakcijom i isporukom vjerodajnica sa zaraženih uređaja.
Ovaj zlonamjerni softver, izgrađen na .NET okviru, širi se putem poveznica koje se dijele u objavama na društvenim mrežama i platformama za izravnu razmjenu poruka. Pametno se prerušava u legitiman softver, kao što je Microsoft Office ili Acrobat Reader, varajući korisnike da nesvjesno instaliraju zlonamjerni sadržaj s lažnih web stranica.
VietCredCare Stealer mogao bi ugroziti osjetljive podatke
VietCredCare Stealer razlikuje se od ostalih stealer prijetnji zlonamjernim softverom svojom istaknutom značajkom izdvajanja vjerodajnica, kolačića i ID-ova sesije iz dobro poznatih web preglednika kao što su Google Chrome, Microsoft Edge i Cốc Cốc, naglašavajući njegovu usredotočenost na vijetnamski kontekst.
Osim toga, ide korak dalje dohvaćanjem IP adrese žrtve, razaznavanjem je li Facebook račun povezan s poslovnim profilom i procjenom upravlja li račun trenutačno oglasima. Istovremeno koristi taktike izbjegavanja kako bi izbjegao otkrivanje, kao što je onemogućavanje sučelja za skeniranje sustava Windows Antimalware (AMSI) i dodavanje sebe na popis isključenja antivirusnog programa Windows Defender.
Temeljna funkcionalnost VietCredCarea, posebice njegova sposobnost filtriranja Facebook vjerodajnica, predstavlja značajan rizik za organizacije u javnom i privatnom sektoru. Ako su osjetljivi računi ugroženi, to može dovesti do ozbiljnih reputacijskih i financijskih posljedica. Mete ovog kradljivog zlonamjernog softvera uključivale su vjerodajnice različitih subjekata, uključujući vladine agencije, sveučilišta, platforme za e-trgovinu, banke i vijetnamske tvrtke.
Nekoliko kradljivih prijetnji pojavilo se od vijetnamskih kibernetičkih kriminalnih skupina
VietCredCare pridružuje se redovima zlonamjernog softvera kradljivaca koji potječe iz vijetnamskog ekosustava kibernetičkog kriminala, zajedno s prethodnicima kao što su Ducktail i NodeStealer, a svi su posebno dizajnirani za ciljanje Facebook računa.
Unatoč zajedničkom podrijetlu, stručnjaci tek trebaju utvrditi konkretnu vezu između ovih različitih sojeva kradljivaca. Ducktail pokazuje različite funkcije, i dok postoje neke sličnosti s NodeStealerom, potonji se razlikuje korištenjem Command-and-Control (C2) poslužitelja umjesto Telegrama, s razlikama u njihovim ciljnim profilima žrtava.
Unatoč tome, SaaS poslovni model pruža put akterima prijetnji s minimalnom tehničkom stručnošću da se uključe u kibernetički kriminal. Ova pristupačnost doprinosi povećanju broja nevinih žrtava koje postaju žrtve takvih štetnih aktivnosti.
