VietCredCare Stealer
Od augusta 2022 boli inzerenti Facebooku vo Vietname napadnutí predtým neidentifikovaným zlodejom informácií s názvom VietCredCare. Tento malvér vyniká svojou schopnosťou automaticky preosiať súbory cookie relácie Facebooku a poverenia ukradnuté z napadnutých zariadení. Potom vyhodnotí, či cieľové účty dohliadajú na obchodné profily a či majú priaznivý zostatok meta reklamy.
Konečným cieľom tejto rozsiahlej kampane proti malvérovému útoku je umožniť neoprávnené prevzatie firemných účtov na Facebooku. Dôraz je kladený na jednotlivcov vo Vietname, ktorí spravujú facebookové profily významných firiem a organizácií. Po úspešnom ohrození sa tieto zabavené účty na Facebooku stanú nástrojmi pre aktérov hrozieb stojacich za operáciou. Tieto účty využívajú na šírenie politického obsahu alebo na propagáciu phishingu a pridružených podvodov, ktorých cieľom je v konečnom dôsledku finančný zisk.
Obsah
VietCredCare Stealer sa ponúka na predaj ďalším zločincom
VietCredCare funguje ako Stealer-as-a-Service (SaaS) a jej dostupnosť sa rozširuje aj na začínajúcich kyberzločincov. Reklamy na túto službu možno nájsť na rôznych platformách vrátane Facebooku, YouTube a Telegramu. Predpokladá sa, že na operáciu dohliadajú jednotlivci, ktorí ovládajú vietnamský jazyk.
Potenciálni zákazníci si môžu vybrať medzi zakúpením prístupu k botnetu spravovanému vývojármi malvéru alebo získaním zdrojového kódu na osobné použitie alebo opätovný predaj. Zákazníkom je navyše dodávaný prispôsobený telegramový bot navrhnutý na spracovanie extrakcie a doručenia prihlasovacích údajov z infikovaných zariadení.
Tento malvér, postavený na .NET frameworku, sa šíri prostredníctvom odkazov zdieľaných v príspevkoch sociálnych médií a platformách na odosielanie okamžitých správ. Šikovne sa maskuje ako legitímny softvér, ako napríklad Microsoft Office alebo Acrobat Reader, a navádza používateľov, aby si nevedomky nainštalovali škodlivý obsah z klamlivých webových stránok.
VietCredCare Stealer by mohol ohroziť citlivé údaje
VietCredCare Stealer sa odlišuje od ostatných zlodejských malvérových hrozieb svojou prominentnou funkciou extrahovania poverení, súborov cookie a ID relácií zo známych webových prehliadačov, ako sú Google Chrome, Microsoft Edge a Cốc Cốc, čím sa zdôrazňuje jeho zameranie na vietnamský kontext.
Okrem toho ide o krok ďalej tým, že získa IP adresu obete, zistí, či je účet na Facebooku spojený s obchodným profilom, a vyhodnotí, či účet momentálne spravuje nejaké reklamy. Súčasne využíva taktiku úniku, aby sa vyhla odhaleniu, ako je zakázanie rozhrania Windows Antimalware Scan Interface (AMSI) a pridanie sa do zoznamu vylúčení antivírusového programu Windows Defender.
Základná funkcia VietCredCare, najmä jej odbornosť vo filtrovaní prihlasovacích údajov na Facebooku, predstavuje značné riziko pre organizácie vo verejnom aj súkromnom sektore. Ak dôjde k ohrozeniu citlivých účtov, môže to viesť k vážnym reputačným a finančným následkom. Medzi ciele tohto škodlivého softvéru patria poverenia od rôznych subjektov vrátane vládnych agentúr, univerzít, platforiem elektronického obchodu, bánk a vietnamských spoločností.
Od vietnamských kyberzločineckých skupín sa objavilo niekoľko hrozieb zlodejov
VietCredCare sa pripája k radom zlodejského malvéru pochádzajúceho z vietnamského kyberzločineckého ekosystému, popri predchodcoch ako Ducktail a NodeStealer, všetky špeciálne navrhnuté na zacielenie na účty na Facebooku.
Napriek ich spoločnému pôvodu, odborníci ešte musia vytvoriť konkrétne spojenie medzi týmito rôznymi kmeňmi zlodejov. Ducktail vykazuje odlišné funkcie a hoci existujú určité podobnosti s NodeStealer, ten sa líši tým, že namiesto telegramu používa server Command-and-Control (C2), s rozdielmi v ich cieľových profiloch obetí.
Napriek tomu obchodný model SaaS poskytuje aktérom hrozieb s minimálnou technickou expertízou možnosť zapojiť sa do počítačovej kriminality. Táto dostupnosť prispieva k zvýšeniu počtu nevinných obetí, ktoré sa stali obeťami takýchto škodlivých činností.
