VietCredCare-stealer
Sinds augustus 2022 worden Facebook-adverteerders in Vietnam aangevallen door een voorheen onbekende informatiedief genaamd VietCredCare. Deze malware onderscheidt zich door zijn vermogen om automatisch Facebook-sessiecookies en inloggegevens te doorzoeken die zijn gestolen van gecompromitteerde apparaten. Daarna evalueert het of de beoogde accounts toezicht houden op bedrijfsprofielen en over een gunstig tegoedsaldo voor meta-advertenties beschikken.
Het uiteindelijke doel van deze wijdverbreide malware-aanvalscampagne is het ongeautoriseerd overnemen van zakelijke Facebook-accounts mogelijk te maken. De focus ligt op individuen in Vietnam die de Facebook-profielen van vooraanstaande bedrijven en organisaties beheren. Eenmaal succesvol gecompromitteerd, worden deze in beslag genomen Facebook-accounts instrumenten voor de dreigingsactoren achter de operatie. Ze gebruiken deze accounts om politieke inhoud te verspreiden of phishing en affiliate-zwendel te promoten, met als uiteindelijk doel financieel gewin.
Inhoudsopgave
De VietCredCare Stealer wordt te koop aangeboden aan andere Crybercriminelen
VietCredCare werkt als een Stealer-as-a-Service (SaaS) en de beschikbaarheid ervan strekt zich uit tot ambitieuze cybercriminelen. Advertenties voor deze dienst zijn te vinden op verschillende platforms, waaronder Facebook, YouTube en Telegram. Aangenomen wordt dat de operatie onder toezicht staat van personen die de Vietnamese taal beheersen.
Potentiële klanten kunnen kiezen tussen het kopen van toegang tot een botnet dat wordt beheerd door de ontwikkelaars van de malware of het verwerven van de broncode voor persoonlijk gebruik of wederverkoop. Bovendien krijgen klanten een aangepaste Telegram-bot die is ontworpen om de extractie en levering van inloggegevens van geïnfecteerde apparaten af te handelen.
Deze malware, gebouwd op het .NET-framework, wordt verspreid via links die worden gedeeld in posts op sociale media en instant messaging-platforms. Het vermomt zichzelf op een slimme manier als legitieme software, zoals Microsoft Office of Acrobat Reader, en verleidt gebruikers om onbewust kwaadaardige inhoud van misleidende websites te installeren.
De VietCredCare Stealer kan gevoelige gegevens in gevaar brengen
De VietCredCare Stealer onderscheidt zich van de rest van stealer-malwarebedreigingen door zijn opvallende kenmerk van het extraheren van inloggegevens, cookies en sessie-ID's van bekende webbrowsers zoals Google Chrome, Microsoft Edge en Cốc Cốc, wat de focus op de Vietnamese context onderstreept.
Daarnaast gaat het nog een stap verder door het IP-adres van een slachtoffer op te halen, te bepalen of een Facebook-account aan een bedrijfsprofiel is gekoppeld en te evalueren of het account momenteel advertenties beheert. Tegelijkertijd maakt het gebruik van ontwijkingstactieken om detectie te voorkomen, zoals het uitschakelen van de Windows Antimalware Scan Interface (AMSI) en het toevoegen van zichzelf aan de uitsluitingslijst van Windows Defender Antivirus.
De kernfunctionaliteit van VietCredCare, met name de vaardigheid in het filteren van Facebook-inloggegevens, vormt een aanzienlijk risico voor organisaties in zowel de publieke als de private sector. Als gevoelige accounts worden gecompromitteerd, kan dit ernstige gevolgen hebben voor de reputatie en de financiën. Tot de doelwitten van deze stealer-malware behoren inloggegevens van verschillende entiteiten, waaronder overheidsinstanties, universiteiten, e-commerceplatforms, banken en Vietnamese bedrijven.
Er zijn verschillende stealerbedreigingen opgedoken door Vietnamese cybercriminele groepen
VietCredCare sluit zich aan bij de stealer-malware die afkomstig is uit het Vietnamese cybercriminele ecosysteem, naast voorgangers als Ducktail en NodeStealer, allemaal specifiek ontworpen om Facebook-accounts te targeten.
Ondanks hun gedeelde oorsprong moeten experts nog een concreet verband leggen tussen deze verschillende stealersoorten. Ducktail vertoont verschillende functies, en hoewel er enkele overeenkomsten bestaan met NodeStealer, wijkt laatstgenoemde af door een Command-and-Control (C2)-server te gebruiken in plaats van Telegram, met verschillen in de profielen van hun beoogde slachtoffers.
Niettemin biedt het SaaS-bedrijfsmodel dreigingsactoren met minimale technische expertise een mogelijkheid om zich met cybercriminaliteit bezig te houden. Deze toegankelijkheid draagt bij aan een toename van het aantal onschuldige slachtoffers dat ten prooi valt aan dergelijke schadelijke activiteiten.
