Il ladro di VietCredCare
Dall'agosto 2022, gli inserzionisti di Facebook in Vietnam sono stati attaccati da un ladro di informazioni precedentemente non identificato chiamato VietCredCare. Questo malware si distingue per la sua capacità di filtrare automaticamente i cookie della sessione di Facebook e le credenziali rubate dai dispositivi compromessi. Successivamente, valuta se gli account presi di mira supervisionano i profili aziendali e possiedono un saldo del credito pubblicitario Meta favorevole.
L'obiettivo finale di questa diffusa campagna di attacchi malware è consentire l'acquisizione non autorizzata degli account Facebook aziendali. L’attenzione si concentra sugli individui in Vietnam che gestiscono i profili Facebook di importanti aziende e organizzazioni. Una volta compromessi con successo, questi account Facebook sequestrati diventano strumenti per gli autori delle minacce dietro l'operazione. Utilizzano questi account per diffondere contenuti politici o promuovere phishing e truffe di affiliazione, con l'obiettivo finale di ottenere un guadagno finanziario.
Sommario
Il ladro VietCredCare viene offerto in vendita ad altri criminali informatici
VietCredCare opera come Stealer-as-a-Service (SaaS) e la sua disponibilità si estende agli aspiranti criminali informatici. Gli annunci per questo servizio possono essere trovati su varie piattaforme, tra cui Facebook, YouTube e Telegram. Si ritiene che l'operazione sia supervisionata da persone competenti nella lingua vietnamita.
I potenziali clienti possono scegliere tra l'acquisto dell'accesso a una botnet gestita dagli sviluppatori del malware o l'acquisto del codice sorgente per uso personale o rivendita. Inoltre, ai clienti viene fornito un bot Telegram personalizzato progettato per gestire l'estrazione e la consegna di credenziali da dispositivi infetti.
Questo malware, basato sul framework .NET, viene diffuso tramite collegamenti condivisi nei post dei social media e nelle piattaforme di messaggistica istantanea. Si maschera abilmente da software legittimo, come Microsoft Office o Acrobat Reader, inducendo gli utenti a installare involontariamente contenuti dannosi da siti Web ingannevoli.
Il VietCredCare Stealer potrebbe compromettere dati sensibili
VietCredCare Stealer si distingue dal resto delle minacce malware stealer per la sua importante caratteristica di estrarre credenziali, cookie e ID di sessione da browser Web noti come Google Chrome, Microsoft Edge e Cốc Cốc, sottolineando la sua attenzione al contesto vietnamita.
Oltre a ciò, fa un ulteriore passo avanti recuperando l'indirizzo IP della vittima, discernendo se un account Facebook è associato a un profilo aziendale e valutando se l'account sta attualmente gestendo eventuali annunci pubblicitari. Allo stesso tempo, impiega tattiche di evasione per evitare il rilevamento, come disabilitare l'AMSI (Windows Antimalware Scan Interface) e aggiungersi all'elenco di esclusione di Windows Defender Antivirus.
La funzionalità principale di VietCredCare, in particolare la sua competenza nel filtrare le credenziali di Facebook, rappresenta un rischio significativo per le organizzazioni sia nel settore pubblico che in quello privato. Se gli account sensibili vengono compromessi, ciò può portare a gravi conseguenze finanziarie e reputazionali. Gli obiettivi di questo malware ladro includevano credenziali di varie entità, tra cui agenzie governative, università, piattaforme di e-commerce, banche e aziende vietnamite.
Sono emerse diverse minacce di tipo stealer da parte di gruppi criminali informatici vietnamiti
VietCredCare si unisce ai ranghi dei malware stealer provenienti dall'ecosistema dei criminali informatici vietnamiti, insieme a predecessori come Ducktail e NodeStealer, tutti progettati specificamente per prendere di mira gli account Facebook.
Nonostante la loro origine comune, gli esperti devono ancora stabilire un legame concreto tra questi vari ceppi di ladri. Ducktail presenta funzioni distinte e, sebbene esistano alcune somiglianze con NodeStealer, quest'ultimo diverge impiegando un server di comando e controllo (C2) invece di Telegram, con differenze nei profili delle vittime target.
Tuttavia, il modello di business SaaS offre agli autori delle minacce con competenze tecniche minime la possibilità di impegnarsi nella criminalità informatica. Questa accessibilità contribuisce ad aumentare il numero di vittime innocenti vittime di tali attività dannose.
