VietCredCare Stealer
Desde agosto de 2022, os anunciantes do Facebook no Vietnã foram atacados por um ladrão de informações anteriormente não identificado chamado VietCredCare. Este malware se destaca por sua capacidade de filtrar automaticamente cookies de sessão do Facebook e credenciais roubadas de dispositivos comprometidos. Posteriormente, ele avalia se as contas-alvo supervisionam perfis de negócios e possuem um saldo de crédito de anúncio Meta favorável.
O objetivo final desta campanha generalizada de ataque de malware é permitir o controle não autorizado de contas corporativas do Facebook. O foco está em indivíduos no Vietnã que gerenciam perfis no Facebook de empresas e organizações proeminentes. Uma vez comprometidas com sucesso, essas contas apreendidas do Facebook tornam-se ferramentas para os atores da ameaça por trás da operação. Eles utilizam essas contas para disseminar conteúdo político ou promover golpes de phishing e afiliados, visando, em última análise, ganhos financeiros.
Índice
O VietCredCare Stealer está sendo Oferecido para Venda a Outros Grupos de Criminosos
VietCredCare opera como um Stealer-as-a-Service (SaaS) e sua disponibilidade se estende a aspirantes a cibercriminosos. Os anúncios deste serviço podem ser encontrados em diversas plataformas, incluindo Facebook, YouTube e Telegram. Acredita-se que a operação seja supervisionada por indivíduos proficientes na língua vietnamita.
Os clientes em potencial podem escolher entre adquirir acesso a uma botnet gerenciada pelos desenvolvedores do malware ou adquirir o código-fonte para uso pessoal ou revenda. Além disso, os clientes recebem um bot Telegram personalizado, projetado para lidar com a extração e entrega de credenciais de dispositivos infectados.
Esse malware, construído na estrutura .NET, é disseminado por meio de links compartilhados em postagens em mídias sociais e plataformas de mensagens instantâneas. Ele se disfarça habilmente como software legítimo, como o Microsoft Office ou o Acrobat Reader, enganando os usuários para que instalem involuntariamente conteúdo malicioso de sites enganosos.
O VietCredCare Straler pode Comprometer Dados Confidenciais
O VietCredCare Stealer se diferencia das demais ameaças de malware ladrão com seu recurso proeminente de extração de credenciais, cookies e IDs de sessão de navegadores da Web conhecidos, como Google Chrome, Microsoft Edge e Cốc Cốc, ressaltando seu foco no contexto vietnamita.
Além disso, ele vai um passo além, recuperando o endereço IP da vítima, discernindo se uma conta do Facebook está associada a um perfil comercial e avaliando se a conta está gerenciando algum anúncio no momento. Simultaneamente, ele emprega táticas de evasão para evitar a detecção, como desabilitar a Interface de Verificação Antimalware do Windows (AMSI) e adicionar-se à lista de exclusão do Antivírus do Windows Defender.
A funcionalidade principal do VietCredCare, particularmente a sua proficiência na filtragem de credenciais do Facebook, representa um risco significativo para organizações nos setores público e privado. Se contas confidenciais forem comprometidas, isso poderá levar a graves consequências financeiras e de reputação. Os alvos deste malware ladrão incluem credenciais de diversas entidades, incluindo agências governamentais, universidades, plataformas de comércio eletrônico, bancos e empresas vietnamitas.
Várias Ameaças Surgiram de Grupos Cibercriminosos Vietnamitas
O VietCredCare se junta às fileiras dos malwares ladrões originários do ecossistema cibercriminoso vietnamita, ao lado de antecessores como Ducktail e NodeStealer, todos projetados especificamente para atingir contas do Facebook.
Apesar da sua origem comum, os especialistas ainda não estabeleceram uma ligação concreta entre estas várias estirpes de ladrões. Ducktail exibe funções distintas e, embora existam algumas semelhanças com o NodeStealer, este último diverge ao empregar um servidor de Comando e Controle (C2) em vez do Telegram, com diferenças nos perfis das vítimas-alvo.
No entanto, o modelo de negócios SaaS oferece um caminho para que agentes de ameaças com conhecimento técnico mínimo se envolvam em crimes cibernéticos. Esta acessibilidade contribui para um aumento no número de vítimas inocentes que são vítimas de tais atividades prejudiciais.
