Złodziej VietCredCare
Od sierpnia 2022 r. reklamodawcy Facebooka w Wietnamie są atakowani przez niezidentyfikowanego wcześniej złodzieja informacji o nazwie VietCredCare. Szkodnik ten wyróżnia się możliwością automatycznego przeglądania plików cookie sesji Facebooka i danych uwierzytelniających skradzionych z zaatakowanych urządzeń. Następnie ocenia, czy docelowe konta nadzorują profile biznesowe i posiadają korzystne saldo kredytu reklamowego Meta.
Ostatecznym celem tej szeroko zakrojonej kampanii ataków złośliwego oprogramowania jest umożliwienie nieautoryzowanego przejęcia firmowych kont na Facebooku. Skupiamy się na osobach w Wietnamie, które zarządzają profilami czołowych firm i organizacji na Facebooku. Po pomyślnym włamaniu przejęte konta na Facebooku stają się narzędziami dla cyberprzestępców stojących za tą operacją. Wykorzystują te konta do rozpowszechniania treści politycznych lub promowania phishingu i oszustw afiliacyjnych, których ostatecznym celem jest zysk finansowy.
Spis treści
Złodziej VietCredCare jest wystawiony na sprzedaż innym cyberprzestępcom
VietCredCare działa jako usługa typu Stealer-as-a-Service (SaaS), a jego dostępność obejmuje aspirujących cyberprzestępców. Reklamy tej usługi można znaleźć na różnych platformach, w tym na Facebooku, YouTube i Telegramie. Uważa się, że operację nadzorowały osoby biegle posługujące się językiem wietnamskim.
Potencjalni klienci mogą wybierać pomiędzy zakupem dostępu do botnetu zarządzanego przez twórców szkodliwego oprogramowania lub nabyciem kodu źródłowego do użytku osobistego lub odsprzedaży. Dodatkowo klienci otrzymują dostosowanego bota Telegramu przeznaczonego do wydobywania i dostarczania danych uwierzytelniających z zainfekowanych urządzeń.
To złośliwe oprogramowanie, zbudowane na platformie .NET, jest rozpowszechniane za pośrednictwem łączy udostępnianych w postach w mediach społecznościowych i na platformach komunikatorów internetowych. Sprytnie podszywa się pod legalne oprogramowanie, takie jak Microsoft Office lub Acrobat Reader, nakłaniając użytkowników do nieświadomego zainstalowania złośliwej zawartości ze zwodniczych witryn internetowych.
Złodziej VietCredCare może naruszyć poufne dane
VietCredCare Stealer odróżnia się od reszty zagrożeń złośliwym oprogramowaniem, które stanowią kradzież, dzięki wyróżniającej się funkcji wyodrębniania danych uwierzytelniających, plików cookie i identyfikatorów sesji ze znanych przeglądarek internetowych, takich jak Google Chrome, Microsoft Edge i Cốc Cốc, co podkreśla jego skupienie na kontekście wietnamskim.
Poza tym idzie o krok dalej, pozyskując adres IP ofiary, sprawdzając, czy konto na Facebooku jest powiązane z profilem biznesowym i oceniając, czy konto aktualnie zarządza jakimikolwiek reklamami. Jednocześnie wykorzystuje taktyki unikania, aby uniknąć wykrycia, takie jak wyłączanie interfejsu skanowania pod kątem złośliwego oprogramowania systemu Windows (AMSI) i dodawanie się do listy wykluczeń programu antywirusowego Windows Defender.
Podstawowa funkcjonalność VietCredCare, w szczególności jego biegłość w filtrowaniu danych uwierzytelniających na Facebooku, stwarza znaczne ryzyko dla organizacji zarówno w sektorze publicznym, jak i prywatnym. Jeśli poufne konta zostaną naruszone, może to prowadzić do poważnych konsekwencji finansowych i reputacyjnych. Celem tego złośliwego oprogramowania kradnącego są dane uwierzytelniające różnych podmiotów, w tym agencji rządowych, uniwersytetów, platform handlu elektronicznego, banków i wietnamskich firm.
Ze strony wietnamskich grup cyberprzestępczych wyłoniło się kilka zagrożeń związanych ze kradzieżą
VietCredCare dołącza do grona kradnących szkodliwe oprogramowanie pochodzące z wietnamskiego ekosystemu cyberprzestępczego, obok swoich poprzedników, takich jak Ducktail i NodeStealer, wszystkich zaprojektowanych specjalnie z myślą o kontach na Facebooku.
Pomimo wspólnego pochodzenia eksperci nie ustalili jeszcze konkretnego powiązania między tymi różnymi odmianami złodziei. Ducktail ma odrębne funkcje i choć istnieją pewne podobieństwa do NodeStealera, ten drugi różni się tym, że zamiast Telegramu wykorzystuje serwer dowodzenia i kontroli (C2), różniąc się profilami docelowych ofiar.
Niemniej jednak model biznesowy SaaS zapewnia podmiotom zagrażającym posiadającym minimalną wiedzę techniczną możliwość zaangażowania się w cyberprzestępczość. Dostępność ta przyczynia się do wzrostu liczby niewinnych ofiar padających ofiarą takich szkodliwych działań.
