VietCredCare vjedhës
Që nga gushti 2022, reklamuesit e Facebook në Vietnam janë sulmuar nga një vjedhës informacioni i paidentifikuar më parë i quajtur VietCredCare. Ky malware dallohet për aftësinë e tij për të analizuar automatikisht skedarët e sesioneve të Facebook-ut dhe kredencialet e vjedhura nga pajisjet e komprometuara. Më pas, ai vlerëson nëse llogaritë e synuara mbikëqyrin profilet e biznesit dhe posedojnë një bilanc të favorshëm të kredisë Meta ad.
Objektivi përfundimtar i kësaj fushate të përhapur sulmi me malware është të mundësojë marrjen e paautorizuar të llogarive të korporatave në Facebook. Fokusi është te individët në Vietnam që menaxhojnë profilet e Facebook të bizneseve dhe organizatave të njohura. Pasi komprometohen me sukses, këto llogari të sekuestruara në Facebook bëhen mjete për aktorët e kërcënimit që qëndrojnë pas operacionit. Ata i përdorin këto llogari për të shpërndarë përmbajtje politike ose për të promovuar phishing dhe mashtrime të filialeve, duke synuar përfundimisht përfitime financiare.
Tabela e Përmbajtjes
VietCredCare Stealer po u ofrohet për shitje kriminelëve të tjerë Cryber
VietCredCare funksionon si një vjedhës-si-shërbim (SaaS), dhe disponueshmëria e tij shtrihet tek kriminelët që aspirojnë kibernetikë. Reklamat për këtë shërbim mund të gjenden në platforma të ndryshme, duke përfshirë Facebook, YouTube dhe Telegram. Operacioni besohet të mbikëqyret nga individë të aftë në gjuhën vietnameze.
Klientët e mundshëm mund të zgjedhin midis blerjes së aksesit në një botnet të menaxhuar nga zhvilluesit e malware ose marrjes së kodit burimor për përdorim personal ose rishitje. Për më tepër, klientët pajisen me një robot të personalizuar Telegram, i krijuar për të trajtuar nxjerrjen dhe shpërndarjen e kredencialeve nga pajisjet e infektuara.
Ky malware, i ndërtuar në kornizën .NET, shpërndahet përmes lidhjeve të shpërndara në postimet e mediave sociale dhe platformat e mesazheve të çastit. Ai maskohet me zgjuarsi si softuer legjitim, si Microsoft Office ose Acrobat Reader, duke mashtruar përdoruesit që të instalojnë padashur përmbajtje me qëllim të keq nga faqet e internetit mashtruese.
VietCredCare Stealer mund të komprometojë të dhëna të ndjeshme
VietCredCare Stealer dallohet nga pjesa tjetër e kërcënimeve të malware të vjedhësve me veçorinë e tij të spikatur të nxjerrjes së kredencialeve, kukive dhe ID-ve të sesioneve nga shfletuesit e njohur të uebit si Google Chrome, Microsoft Edge dhe Cốc Cốc, duke nënvizuar fokusin e tij në kontekstin vietnamez.
Përtej kësaj, ai shkon një hap më tej duke marrë adresën IP të viktimës, duke dalluar nëse një llogari në Facebook është e lidhur me një profil biznesi dhe duke vlerësuar nëse llogaria aktualisht po menaxhon ndonjë reklamë. Njëkohësisht, ai përdor taktika evazioni për të shmangur zbulimin, të tilla si çaktivizimi i Ndërfaqes së Skanimit të Antimalware të Windows (AMSI) dhe shtimi i vetvetes në listën e përjashtimeve të Antivirusit të Windows Defender.
Funksionaliteti kryesor i VietCredCare, veçanërisht aftësia e tij në filtrimin e kredencialeve të Facebook, përbën një rrezik të konsiderueshëm për organizatat si në sektorin publik ashtu edhe në atë privat. Nëse llogaritë e ndjeshme rrezikohen, kjo mund të çojë në pasoja të rënda reputacionale dhe financiare. Objektivat e këtij malware vjedhës kanë përfshirë kredencialet nga entitete të ndryshme, duke përfshirë agjencitë qeveritare, universitetet, platformat e tregtisë elektronike, bankat dhe kompanitë vietnameze.
Kanë shfaqur disa kërcënime vjedhësi nga grupet kibernetike vietnameze
VietCredCare i bashkohet radhëve të malware-ve vjedhës me origjinë nga ekosistemi kibernetik kibernetik vietnamez, së bashku me paraardhësit si Ducktail dhe NodeStealer, të gjithë të krijuar posaçërisht për të synuar llogaritë e Facebook.
Pavarësisht origjinës së tyre të përbashkët, ekspertët ende nuk kanë krijuar një lidhje konkrete midis këtyre llojeve të ndryshme të vjedhësve. Ducktail shfaq funksione të ndryshme dhe ndërsa ekzistojnë disa ngjashmëri me NodeStealer, ky i fundit ndryshon duke përdorur një server Command-and-Control (C2) në vend të Telegram, me dallime në profilet e viktimave të synuara.
Megjithatë, modeli i biznesit SaaS ofron një rrugë për aktorët e kërcënimit me ekspertizë teknike minimale për t'u përfshirë në krimin kibernetik. Kjo aksesueshmëri kontribuon në rritjen e numrit të viktimave të pafajshme që bien pre e aktiviteteve të tilla të dëmshme.
