„VietCredCare“ vagystė
Nuo 2022 m. rugpjūčio mėn. „Facebook“ reklamuotojus Vietname užpuolė anksčiau nenustatytas informacijos vagystė „VietCredCare“. Ši kenkėjiška programa išsiskiria savo galimybe automatiškai peržiūrėti „Facebook“ seanso slapukus ir kredencialus, pagrobtus iš pažeistų įrenginių. Vėliau įvertinama, ar tikslinės paskyros prižiūri verslo profilius ir turi palankų meta skelbimų kredito likutį.
Galutinis šios plačiai paplitusios kenkėjiškų programų atakų kampanijos tikslas yra leisti neteisėtai perimti įmonių „Facebook“ paskyras. Pagrindinis dėmesys skiriamas asmenims Vietname, kurie tvarko žinomų įmonių ir organizacijų Facebook profilius. Sėkmingai pažeidžiamos šios konfiskuotos „Facebook“ paskyros tampa grėsmės veikėjų, atsakingų už operaciją, įrankiais. Jie naudoja šias paskyras politiniam turiniui platinti arba sukčiavimui ir filialų sukčiavimui skatinti, galiausiai siekdami finansinės naudos.
Turinys
„VietCredCare“ vagystė siūloma parduoti kitiems „Cryber“ nusikaltėliams
„VietCredCare“ veikia kaip „Stealer-as-a-Service“ (SaaS), o jos prieinamumas apima ir trokštančius kibernetinius nusikaltėlius. Šios paslaugos skelbimų galima rasti įvairiose platformose, įskaitant Facebook, YouTube ir Telegram. Manoma, kad operaciją prižiūri vietnamiečių kalbą mokantys asmenys.
Potencialūs klientai gali pasirinkti, ar įsigyti prieigą prie botneto, kurį valdo kenkėjiškos programos kūrėjai, arba įsigyti šaltinio kodą asmeniniam naudojimui ar perpardavimui. Be to, klientams pateikiamas pritaikytas „Telegram“ robotas, skirtas kredencialų ištraukimui ir pristatymui iš užkrėstų įrenginių.
Ši kenkėjiška programa, sukurta remiantis .NET sistema, platinama per nuorodas, bendrinamas socialinės žiniasklaidos įrašuose ir momentinių pranešimų platformose. Ji sumaniai užmaskuojama kaip teisėta programinė įranga, pvz., „Microsoft Office“ ar „Acrobat Reader“, apgaudinėdama vartotojus, kad jie netyčia įdiegtų kenkėjišką turinį iš apgaulingų svetainių.
VietCredCare Stealer gali pakenkti jautriems duomenims
„VietCredCare Stealer“ išsiskiria iš kitų kenkėjiškų programų grėsmių, nes jos išskirtinis bruožas yra kredencialų, slapukų ir seansų ID ištraukimas iš gerai žinomų žiniatinklio naršyklių, tokių kaip „Google Chrome“, „Microsoft Edge“ ir „Cốc Cốc“, o tai pabrėžia, kad jis orientuotas į Vietnamo kontekstą.
Be to, ji žengia dar vieną žingsnį toliau – nuskaito aukos IP adresą, nustato, ar „Facebook“ paskyra susieta su verslo profiliu, ir įvertina, ar paskyra šiuo metu tvarko reklamą. Tuo pačiu metu ji naudoja vengimo taktiką, kad būtų išvengta aptikimo, pvz., išjungiama „Windows“ antimalware nuskaitymo sąsaja (AMSI) ir įtraukiama į „Windows Defender“ antivirusinės programos pašalinimų sąrašą.
Pagrindinės VietCredCare funkcijos, ypač jos gebėjimas filtruoti „Facebook“ kredencialus, kelia didelį pavojų organizacijoms tiek viešajame, tiek privačiame sektoriuose. Jei pažeidžiamos jautrios paskyros, tai gali turėti rimtų reputacijos ir finansinių pasekmių. Šios vagių kenkėjiškos programos taikiniai buvo įvairių subjektų, įskaitant vyriausybines agentūras, universitetus, elektroninės prekybos platformas, bankus ir Vietnamo įmones, kredencialai.
Vietnamo kibernetinių nusikaltėlių grupuotės iškėlė keletą vagysčių grėsmių
VietCredCare prisijungia prie vagių kenkėjiškų programų, kilusių iš Vietnamo kibernetinių nusikaltėlių ekosistemos, gretų kartu su pirmtakais, tokiais kaip „ Ducktail “ ir „NodeStealer“, kurios visos yra specialiai sukurtos „Facebook“ paskyroms.
Nepaisant bendros kilmės, ekspertai dar turi nustatyti konkretų ryšį tarp šių įvairių vagių atmainų. „Ducktail“ atlieka skirtingas funkcijas, ir nors yra tam tikrų panašumų su „NodeStealer“, pastarasis skiriasi tuo, kad vietoj „Telegram“ naudoja komandų ir valdymo (C2) serverį, o tikslinių aukų profiliai skiriasi.
Nepaisant to, SaaS verslo modelis suteikia galimybę grėsmių dalyviams, turintiems minimalią techninę patirtį, įsitraukti į elektroninius nusikaltimus. Šis prieinamumas prisideda prie nekaltų aukų, tapusių tokios žalingos veiklos aukomis, skaičiaus didėjimo.
