VietCredCare Stealer
Din august 2022, agenții de publicitate Facebook din Vietnam au fost atacați de un furt de informații neidentificat anterior numit VietCredCare. Acest malware se remarcă prin capacitatea sa de a verifica automat cookie-urile de sesiune Facebook și acreditările furate de pe dispozitivele compromise. Ulterior, evaluează dacă conturile vizate supraveghează profilurile de afaceri și dețin un sold favorabil de credit Meta ad.
Obiectivul final al acestei campanii de atacuri malware este acela de a permite preluarea neautorizată a conturilor corporative de Facebook. Accentul se pune pe indivizii din Vietnam care gestionează profilurile Facebook ale companiilor și organizațiilor proeminente. Odată compromise cu succes, aceste conturi de Facebook confiscate devin instrumente pentru actorii amenințărilor din spatele operațiunii. Ei folosesc aceste conturi pentru a disemina conținut politic sau pentru a promova phishing și escrocherii de afiliere, urmărind în cele din urmă câștiguri financiare.
Cuprins
Furtul VietCredCare este oferit spre vânzare altor criminali criminali
VietCredCare operează ca un Stealer-as-a-Service (SaaS), iar disponibilitatea sa se extinde la infractorii cibernetici aspiranți. Reclamele pentru acest serviciu pot fi găsite pe diverse platforme, inclusiv Facebook, YouTube și Telegram. Se crede că operațiunea este supravegheată de persoane care cunosc limba vietnameză.
Clienții potențiali pot alege între achiziționarea accesului la o rețea botnet gestionată de dezvoltatorii de malware sau achiziționarea codului sursă pentru uz personal sau revânzare. În plus, clienților li se oferă un bot Telegram personalizat, conceput pentru a gestiona extragerea și livrarea acreditărilor de pe dispozitivele infectate.
Acest malware, construit pe framework-ul .NET, este diseminat prin link-uri partajate în postările de pe rețelele sociale și platformele de mesagerie instantanee. Se deghizează inteligent în software legitim, cum ar fi Microsoft Office sau Acrobat Reader, păcălind utilizatorii să instaleze fără să vrea conținut rău intenționat de pe site-uri web înșelătoare.
Furtul VietCredCare ar putea compromite datele sensibile
VietCredCare Stealer se distinge de restul amenințărilor malware de tip furt prin caracteristica sa proeminentă de extragere a acreditărilor, cookie-urilor și ID-urilor de sesiune din browsere web binecunoscute precum Google Chrome, Microsoft Edge și Cốc Cốc, subliniind accentul său pe contextul vietnamez.
Dincolo de aceasta, merge un pas mai departe prin preluarea adresei IP a victimei, discernând dacă un cont Facebook este asociat cu un profil de afaceri și evaluând dacă contul gestionează în prezent reclame. În același timp, folosește tactici de evaziune pentru a evita detectarea, cum ar fi dezactivarea interfeței de scanare antimalware Windows (AMSI) și adăugarea în lista de excludere a antivirusului Windows Defender.
Funcționalitatea de bază a VietCredCare, în special competența sa în filtrarea acreditărilor Facebook, prezintă un risc semnificativ pentru organizațiile atât din sectorul public, cât și din cel privat. Dacă conturile sensibile sunt compromise, aceasta poate duce la consecințe grave asupra reputației și financiare. Țintele acestui malware furător au inclus acreditări de la diverse entități, inclusiv agenții guvernamentale, universități, platforme de comerț electronic, bănci și companii vietnameze.
Mai multe amenințări de furt au apărut de la grupurile de criminali cibernetici vietnamezi
VietCredCare se alătură rândurilor malware-ului de furt provenit din ecosistemul criminalilor cibernetici vietnamezi, alături de predecesori precum Ducktail și NodeStealer, toate concepute special pentru a viza conturile Facebook.
În ciuda originii lor comune, experții nu au stabilit încă o legătură concretă între aceste diverse tulpini de furori. Ducktail prezintă funcții distincte și, deși există unele asemănări cu NodeStealer, acesta din urmă diferă prin utilizarea unui server Command-and-Control (C2) în loc de Telegram, cu diferențe în profilurile victimelor țintă.
Cu toate acestea, modelul de afaceri SaaS oferă o cale pentru actorii amenințărilor cu expertiză tehnică minimă pentru a se implica în criminalitatea cibernetică. Această accesibilitate contribuie la creșterea numărului de victime nevinovate care cad pradă unor astfel de activități dăunătoare.
