VietCredCare Stealer
Sedan augusti 2022 har Facebook-annonsörer i Vietnam attackerats av en tidigare oidentifierad informationsstöldare som heter VietCredCare. Denna skadliga programvara sticker ut för sin förmåga att automatiskt sålla igenom Facebook-sessionscookies och referenser som stjäls från komprometterade enheter. Därefter utvärderar den om de inriktade kontona övervakar affärsprofiler och har ett gynnsamt saldo med metaannons.
Det yttersta målet med denna omfattande attack mot skadlig programvara är att möjliggöra obehörigt övertagande av företags Facebook-konton. Fokus ligger på individer i Vietnam som hanterar Facebook-profiler för framstående företag och organisationer. När de väl lyckats kompromissa blir dessa beslagtagna Facebook-konton verktyg för hotaktörerna bakom operationen. De använder dessa konton för att sprida politiskt innehåll eller främja nätfiske och affiliate-bedrägerier, i slutändan i syfte att få ekonomisk vinning.
Innehållsförteckning
VietCredCare Stealer erbjuds till försäljning till andra kriminella kriminella
VietCredCare fungerar som en Stealer-as-a-Service (SaaS), och dess tillgänglighet sträcker sig till blivande cyberbrottslingar. Annonser för denna tjänst kan hittas på olika plattformar, inklusive Facebook, YouTube och Telegram. Operationen tros övervakas av personer som är skickliga i det vietnamesiska språket.
Potentiella kunder kan välja mellan att köpa tillgång till ett botnät som hanteras av skadlig programvaras utvecklare eller skaffa källkoden för personligt bruk eller återförsäljning. Dessutom förses kunderna med en skräddarsydd Telegram-bot designad för att hantera utvinning och leverans av referenser från infekterade enheter.
Denna skadliga programvara, byggd på .NET-ramverket, sprids via länkar som delas i inlägg på sociala medier och plattformar för snabbmeddelanden. Den klär ut sig själv som legitim programvara, som Microsoft Office eller Acrobat Reader, som lurar användare att omedvetet installera skadligt innehåll från vilseledande webbplatser.
VietCredCare Stealer kan äventyra känsliga data
VietCredCare Stealer särskiljer sig från resten av stealer malware hot med sin framträdande funktion att extrahera referenser, cookies och sessions-ID:n från välkända webbläsare som Google Chrome, Microsoft Edge och Cốc Cốc, vilket understryker dess fokus på det vietnamesiska sammanhanget.
Utöver detta går det ett steg längre genom att hämta ett offers IP-adress, avgöra om ett Facebook-konto är kopplat till en företagsprofil och utvärdera om kontot för närvarande hanterar några annonser. Samtidigt använder den undanflyktstaktik för att undvika upptäckt, som att inaktivera Windows Antimalware Scan Interface (AMSI) och lägga till sig själv i undantagslistan för Windows Defender Antivirus.
Kärnfunktionaliteten hos VietCredCare, särskilt dess skicklighet i att filtrera bort Facebook-referenser, utgör en betydande risk för organisationer i både den offentliga och privata sektorn. Om känsliga konton äventyras kan det leda till allvarliga anseende och ekonomiska konsekvenser. Målen för denna skadlig programvara har inkluderat referenser från olika enheter, inklusive statliga myndigheter, universitet, e-handelsplattformar, banker och vietnamesiska företag.
Flera smyghot har dykt upp från vietnamesiska cyberkriminella grupper
VietCredCare ansluter sig till raden av skadlig programvara som stjäl från det vietnamesiska cyberkriminella ekosystemet, tillsammans med föregångare som Ducktail och NodeStealer, alla speciellt utformade för att rikta in sig på Facebook-konton.
Trots deras delade ursprung har experter ännu inte etablerat en konkret koppling mellan dessa olika stjälarstammar. Ducktail uppvisar distinkta funktioner, och även om vissa likheter finns med NodeStealer, avviker den senare genom att använda en Command-and-Control-server (C2) istället för Telegram, med skillnader i deras målofferprofiler.
Ändå erbjuder SaaS affärsmodell en väg för hotaktörer med minimal teknisk expertis att engagera sig i cyberbrottslighet. Denna tillgänglighet bidrar till en ökning av antalet oskyldiga offer som faller offer för sådana skadliga aktiviteter.
