VietCredCare Похититель
С августа 2022 года рекламодатели Facebook во Вьетнаме подвергаются атакам ранее неизвестного похитителя информации под названием VietCredCare. Это вредоносное ПО выделяется своей способностью автоматически анализировать файлы cookie сеанса Facebook и учетные данные, украденные со взломанных устройств. После этого он оценивает, контролируют ли целевые учетные записи бизнес-профили и имеют ли они благоприятный кредитный баланс мета-рекламы.
Конечная цель этой широко распространенной кампании по атаке вредоносного ПО — обеспечить несанкционированный захват корпоративных учетных записей Facebook. Основное внимание уделяется лицам во Вьетнаме, которые управляют профилями известных предприятий и организаций в Facebook. После успешной компрометации эти заблокированные учетные записи Facebook становятся инструментами для злоумышленников, стоящих за операцией. Они используют эти учетные записи для распространения политического контента или продвижения фишинга и партнерского мошенничества, в конечном итоге стремясь к финансовой выгоде.
Оглавление
Похититель VietCredCare выставлен на продажу другим киберпреступникам
VietCredCare работает по принципу «Воровство как услуга» (SaaS), и его доступность распространяется на начинающих киберпреступников. Рекламу этого сервиса можно найти на различных платформах, включая Facebook, YouTube и Telegram. Предполагается, что за операцией наблюдают люди, владеющие вьетнамским языком.
Потенциальные клиенты могут выбирать между покупкой доступа к ботнету, управляемым разработчиками вредоносного ПО, или приобретением исходного кода для личного использования или перепродажи. Кроме того, клиентам предоставляется настроенный бот Telegram, предназначенный для извлечения и доставки учетных данных с зараженных устройств.
Это вредоносное ПО, созданное на базе .NET Framework, распространяется через ссылки в сообщениях в социальных сетях и на платформах обмена мгновенными сообщениями. Он ловко маскируется под легальное программное обеспечение, такое как Microsoft Office или Acrobat Reader, обманом заставляя пользователей невольно устанавливать вредоносный контент с мошеннических веб-сайтов.
Похититель VietCredCare может поставить под угрозу конфиденциальные данные
VietCredCare Stealer отличается от остальных вредоносных программ-стилеров своей характерной особенностью извлечения учетных данных, файлов cookie и идентификаторов сеансов из известных веб-браузеров, таких как Google Chrome, Microsoft Edge и Cốc Cốc, что подчеркивает его ориентацию на вьетнамский контекст.
Помимо этого, он идет еще дальше, получая IP-адрес жертвы, определяя, связана ли учетная запись Facebook с бизнес-профилем, и оценивая, управляет ли учетная запись в настоящее время какой-либо рекламой. Одновременно он использует тактику уклонения, чтобы избежать обнаружения, например, отключает интерфейс сканирования антивирусных программ Windows (AMSI) и добавляет себя в список исключений антивирусной программы «Защитник Windows».
Основная функциональность VietCredCare, особенно ее способность фильтровать учетные данные Facebook, представляет значительный риск для организаций как в государственном, так и в частном секторах. Если конфиденциальные учетные записи будут скомпрометированы, это может привести к серьезным репутационным и финансовым последствиям. Целью этого вредоносного ПО-вора были учетные данные различных организаций, в том числе правительственных учреждений, университетов, платформ электронной коммерции, банков и вьетнамских компаний.
Со стороны вьетнамских киберпреступных группировок появилось несколько угроз воровства
VietCredCare пополняет ряды вредоносных программ-воров, происходящих из вьетнамской киберпреступной экосистемы, наряду с такими предшественниками, как Ducktail и NodeStealer, специально разработанными для атак на учетные записи Facebook.
Несмотря на общее происхождение, экспертам еще предстоит установить конкретную связь между этими различными штаммами-ворами. Ducktail обладает различными функциями, и, хотя существует некоторое сходство с NodeStealer, последний отличается использованием сервера управления и контроля (C2) вместо Telegram, с различиями в профилях целевых жертв.
Тем не менее, бизнес-модель SaaS предоставляет возможность злоумышленникам с минимальными техническими знаниями участвовать в киберпреступлениях. Эта доступность способствует увеличению числа невинных жертв, ставших жертвами такой вредной деятельности.
