VietCredCare zaglis

Kopš 2022. gada augusta Facebook reklāmdevējiem Vjetnamā ir uzbrucis iepriekš neidentificēts informācijas zaglis VietCredCare. Šī ļaunprogrammatūra izceļas ar spēju automātiski izsijāt Facebook sesijas sīkfailus un akreditācijas datus, kas nozagti no apdraudētām ierīcēm. Pēc tam tiek novērtēts, vai atlasītie konti pārrauga uzņēmumu profilus un vai tiem ir labvēlīgs Meta reklāmas kredīta atlikums.

Šīs plaši izplatītās ļaunprātīgas programmatūras uzbrukuma kampaņas galvenais mērķis ir nodrošināt nesankcionētu korporatīvo Facebook kontu pārņemšanu. Galvenā uzmanība tiek pievērsta personām Vjetnamā, kas pārvalda ievērojamu uzņēmumu un organizāciju Facebook profilus. Pēc tam, kad tie ir veiksmīgi uzlauzti, šie konfiscētie Facebook konti kļūst par rīkiem operācijas izraisītājiem. Viņi izmanto šos kontus, lai izplatītu politisku saturu vai veicinātu pikšķerēšanu un saistīto krāpniecību, galu galā cenšoties gūt finansiālu labumu.

VietCredCare zaglis tiek piedāvāts pārdošanai citiem kribernoziedzniekiem

VietCredCare darbojas kā Stealer-as-a-Service (SaaS), un tā pieejamība attiecas arī uz topošajiem kibernoziedzniekiem. Šī pakalpojuma sludinājumus var atrast dažādās platformās, tostarp Facebook, YouTube un Telegram. Tiek uzskatīts, ka operāciju pārrauga personas, kas pārvalda vjetnamiešu valodu.

Potenciālie klienti var izvēlēties, vai iegādāties piekļuvi robottīklam, ko pārvalda ļaunprātīgas programmatūras izstrādātāji, vai iegādāties avota kodu personīgai lietošanai vai tālākpārdošanai. Turklāt klientiem tiek piegādāts pielāgots Telegram robots, kas paredzēts akreditācijas datu iegūšanai un piegādei no inficētām ierīcēm.

Šī ļaunprātīgā programmatūra, kas veidota uz .NET ietvara, tiek izplatīta, izmantojot saites, kas tiek kopīgotas sociālo mediju ziņās un tūlītējās ziņojumapmaiņas platformās. Tas gudri maskē sevi kā likumīgu programmatūru, piemēram, Microsoft Office vai Acrobat Reader, mānējot lietotājus, lai tie neapzināti instalētu ļaunprātīgu saturu no maldinošām vietnēm.

VietCredCare Stealer var apdraudēt sensitīvus datus

VietCredCare Stealer izceļas no citiem zagļu ļaunprātīgas programmatūras draudiem ar savu ievērojamo funkciju, kas ļauj iegūt akreditācijas datus, sīkfailus un sesijas ID no labi zināmām tīmekļa pārlūkprogrammām, piemēram, Google Chrome, Microsoft Edge un Cốc Cốc, uzsverot tā koncentrēšanos uz Vjetnamas kontekstu.

Turklāt tas iet soli tālāk, izgūstot upura IP adresi, nosakot, vai Facebook konts ir saistīts ar uzņēmuma profilu, un novērtējot, vai konts pašlaik pārvalda reklāmas. Vienlaikus tajā tiek izmantota izvairīšanās taktika, lai izvairītos no atklāšanas, piemēram, tiek atspējots Windows pretvīrusu programmatūras skenēšanas interfeiss (AMSI) un iekļauts Windows Defender pretvīrusu izslēgšanas sarakstā.

VietCredCare galvenā funkcionalitāte, jo īpaši tās prasme Facebook akreditācijas datu filtrēšanā, rada ievērojamu risku organizācijām gan publiskajā, gan privātajā sektorā. Ja tiek apdraudēti sensitīvi konti, tas var radīt nopietnas reputācijas un finansiālas sekas. Šīs zagļu ļaunprogrammatūras mērķi ir bijuši dažādu vienību akreditācijas dati, tostarp valdības aģentūrām, universitātēm, e-komercijas platformām, bankām un Vjetnamas uzņēmumiem.

No Vjetnamas kibernoziedznieku grupām ir parādījušies vairāki zagļu draudi

VietCredCare pievienojas Vjetnamas kibernoziedznieku ekosistēmas radīto ļaunprātīgo programmatūru zagļu rindām kopā ar tādiem priekšgājējiem kā Ducktail un NodeStealer, kas visi ir īpaši izstrādāti, lai mērķētu uz Facebook kontiem.

Neskatoties uz to kopīgo izcelsmi, ekspertiem vēl ir jāizveido konkrēta saikne starp šiem dažādajiem zagļu celmiem. Ducktail ir atšķirīgas funkcijas, un, lai gan pastāv dažas līdzības ar NodeStealer, pēdējais atšķiras, izmantojot Command-and-Control (C2) serveri, nevis Telegram, ar atšķirībām to mērķa upuru profilos.

Tomēr SaaS biznesa modelis nodrošina iespēju apdraudējuma dalībniekiem ar minimālām tehniskām zināšanām iesaistīties kibernoziegumos. Šī pieejamība veicina to nevainīgu upuru skaita pieaugumu, kuri kļūst par šādu kaitīgu darbību upuriem.