VietCredCare Stealer

2022 augusztusa óta a VietCredCare nevű, korábban azonosítatlan információlopó támadja a Facebook-hirdetőket Vietnamban. Ez a rosszindulatú program azzal tűnik ki, hogy képes automatikusan átszűrni a Facebook munkamenet-cookie-kat és a feltört eszközökről ellopott hitelesítő adatokat. Ezt követően értékeli, hogy a megcélzott fiókok felügyelik-e az üzleti profilokat, és rendelkeznek-e kedvező Meta hirdetési jóváírás egyenleggel.

Ennek a széles körben elterjedt rosszindulatú támadási kampánynak a végső célja a vállalati Facebook-fiókok jogosulatlan átvételének lehetővé tétele. A hangsúly a vietnami magánszemélyeken van, akik prominens vállalkozások és szervezetek Facebook-profiljait kezelik. Sikeres kompromittálás után ezek a lefoglalt Facebook-fiókok a művelet mögött meghúzódó fenyegetés szereplői eszközeivé válnak. Ezeket a fiókokat politikai tartalmak terjesztésére vagy adathalászat és társult vállalkozásokkal kapcsolatos csalások népszerűsítésére használják, végső soron pénzügyi haszonszerzés céljából.

A VietCredCare lopót más kriberbűnözőknek kínálják eladásra

A VietCredCare Stealer-as-a-Service (SaaS) néven működik, és elérhetősége a feltörekvő kiberbűnözőkre is kiterjed. A szolgáltatás hirdetései különféle platformokon találhatók, beleértve a Facebookot, a YouTube-ot és a Telegramot. Úgy gondolják, hogy a műveletet vietnami nyelvben jártas személyek felügyelik.

A leendő vásárlók választhatnak, hogy hozzáférést vásárolnak a kártevő fejlesztői által kezelt botnethez, vagy megvásárolják a forráskódot személyes használatra vagy viszonteladásra. Ezenkívül az ügyfelek egy testreszabott Telegram botot kapnak, amelyet a fertőzött eszközök hitelesítő adatainak kinyerésére és kézbesítésére terveztek.

Ez a .NET keretrendszerre épülő kártevő közösségi média bejegyzésekben és azonnali üzenetküldő platformokon megosztott linkeken keresztül terjed. Ügyesen legitim szoftvernek álcázza magát, mint például a Microsoft Office vagy az Acrobat Reader, és ráveszi a felhasználókat, hogy akaratlanul is rosszindulatú tartalmat telepítsenek megtévesztő webhelyekről.

A VietCredCare Stealer veszélyeztetheti az érzékeny adatokat

A VietCredCare Stealer azzal különbözteti meg magát a többi rosszindulatú fenyegetéstől, hogy hitelesítő adatokat, cookie-kat és munkamenet-azonosítókat nyer ki olyan jól ismert webböngészőkből, mint a Google Chrome, a Microsoft Edge és a Cốc Cốc, ezzel is hangsúlyozva, hogy a vietnami kontextusra összpontosít.

Ezen túlmenően egy lépéssel tovább megy azáltal, hogy lekéri az áldozat IP-címét, megállapítja, hogy egy Facebook-fiók társítva van-e egy üzleti profilhoz, és kiértékeli, hogy a fiók jelenleg kezel-e hirdetéseket. Ezzel egyidejűleg kijátszási taktikákat alkalmaz az észlelés elkerülése érdekében, például letiltja a Windows Antimalware Scan Interface (AMSI) felületet, és felveszi magát a Windows Defender Antivirus kizárási listájára.

A VietCredCare alapvető funkciói, különösen a Facebook hitelesítő adatok kiszűrésében való jártassága jelentős kockázatot jelent a köz- és a magánszektor szervezetei számára. Ha az érzékeny fiókokat feltörik, az súlyos hírnév- és pénzügyi következményekkel járhat. Ennek a lopó rosszindulatú programnak a célpontjai különböző entitások hitelesítő adatai voltak, beleértve a kormányzati szerveket, egyetemeket, e-kereskedelmi platformokat, bankokat és vietnami cégeket.

Számos lopakodó fenyegetés jelent meg vietnami kiberbűnözői csoportoktól

A VietCredCare csatlakozik a vietnami kiberbűnözők ökoszisztémájából származó lopó kártevők sorához, valamint olyan elődökhöz, mint a Ducktail és a NodeStealer, amelyek mindegyike kifejezetten Facebook-fiókokat céloz meg.

Közös eredetük ellenére a szakértőknek még nem sikerült konkrét kapcsolatot felállítaniuk e különféle lopó törzsek között. A Ducktail különböző funkciókat mutat, és bár van némi hasonlóság a NodeStealerrel, az utóbbi eltér azáltal, hogy a Telegram helyett egy Command-and-Control (C2) szervert alkalmaz, eltérésekkel a céláldozati profiljukban.

Mindazonáltal a SaaS üzleti modell lehetőséget biztosít a minimális technikai szakértelemmel rendelkező fenyegetések szereplői számára, hogy részt vegyenek a kiberbűnözésben. Ez a hozzáférhetőség hozzájárul az ilyen káros tevékenységek áldozatává váló ártatlan áldozatok számának növekedéséhez.