VietCredCare Stealer

ตั้งแต่เดือนสิงหาคม 2022 ผู้ลงโฆษณาบน Facebook ในเวียดนามถูกโจมตีโดยผู้ขโมยข้อมูลที่ไม่ปรากฏชื่อก่อนหน้านี้ชื่อ VietCredCare มัลแวร์นี้โดดเด่นด้วยความสามารถในการกรองผ่านคุกกี้เซสชั่น Facebook และข้อมูลประจำตัวที่ถูกขโมยมาจากอุปกรณ์ที่ถูกบุกรุกโดยอัตโนมัติ หลังจากนั้นจะประเมินว่าบัญชีเป้าหมายดูแลโปรไฟล์ธุรกิจและมียอดเครดิตโฆษณา Meta ที่น่าพอใจหรือไม่

วัตถุประสงค์สูงสุดของแคมเปญการโจมตีมัลแวร์ในวงกว้างนี้คือเพื่อให้สามารถเข้าครอบครองบัญชี Facebook ของบริษัทโดยไม่ได้รับอนุญาตได้ จุดเน้นอยู่ที่บุคคลในเวียดนามที่จัดการโปรไฟล์ Facebook ของธุรกิจและองค์กรที่โดดเด่น เมื่อถูกบุกรุกได้สำเร็จ บัญชี Facebook ที่ถูกยึดเหล่านี้จะกลายเป็นเครื่องมือสำหรับผู้แสดงภัยคุกคามที่อยู่เบื้องหลังปฏิบัติการ พวกเขาใช้บัญชีเหล่านี้เพื่อเผยแพร่เนื้อหาทางการเมืองหรือส่งเสริมฟิชชิ่งและการหลอกลวงโดยมีเป้าหมายเพื่อผลประโยชน์ทางการเงินในท้ายที่สุด

VietCredCare Stealer กำลังถูกเสนอขายให้กับอาชญากรไซเบอร์รายอื่น

VietCredCare ทำงานเป็น Stealer-as-a-Service (SaaS) และความพร้อมใช้งานขยายไปถึงอาชญากรไซเบอร์ที่ต้องการ โฆษณาสำหรับบริการนี้สามารถพบได้บนแพลตฟอร์มต่างๆ รวมถึง Facebook, YouTube และ Telegram เชื่อกันว่าปฏิบัติการนี้ได้รับการดูแลโดยบุคคลที่เชี่ยวชาญภาษาเวียดนาม

ลูกค้าเป้าหมายสามารถเลือกระหว่างการซื้อการเข้าถึงบ็อตเน็ตที่จัดการโดยนักพัฒนามัลแวร์ หรือการรับซอร์สโค้ดเพื่อการใช้งานส่วนตัวหรือการขายต่อ นอกจากนี้ ลูกค้ายังได้รับบอต Telegram แบบกำหนดเองที่ออกแบบมาเพื่อจัดการการดึงและส่งข้อมูลประจำตัวจากอุปกรณ์ที่ติดไวรัส

มัลแวร์นี้สร้างขึ้นบนเฟรมเวิร์ก .NET และแพร่กระจายผ่านลิงก์ที่แชร์ในโพสต์โซเชียลมีเดียและแพลตฟอร์มการส่งข้อความโต้ตอบแบบทันที มันปลอมตัวเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมายอย่างชาญฉลาด เช่น Microsoft Office หรือ Acrobat Reader โดยหลอกให้ผู้ใช้ติดตั้งเนื้อหาที่เป็นอันตรายจากเว็บไซต์หลอกลวงโดยไม่รู้ตัว

VietCredCare Stealer อาจประนีประนอมข้อมูลที่ละเอียดอ่อน

VietCredCare Stealer สร้างความแตกต่างจากภัยคุกคามมัลแวร์ขโมยอื่นๆ ด้วยคุณสมบัติที่โดดเด่นในการดึงข้อมูลประจำตัว คุกกี้ และ ID เซสชันจากเว็บเบราว์เซอร์ที่มีชื่อเสียง เช่น Google Chrome, Microsoft Edge และ Cốc Cốc โดยเน้นย้ำถึงการมุ่งเน้นไปที่บริบทภาษาเวียดนาม

นอกเหนือจากนี้ ยังก้าวไปอีกขั้นด้วยการเรียกค้นที่อยู่ IP ของเหยื่อ โดยพิจารณาว่าบัญชี Facebook เชื่อมโยงกับโปรไฟล์ธุรกิจหรือไม่ และประเมินว่าบัญชีนั้นกำลังจัดการโฆษณาอยู่หรือไม่ ในขณะเดียวกัน ก็ใช้กลยุทธ์การหลีกเลี่ยงเพื่อหลีกเลี่ยงการตรวจจับ เช่น การปิดใช้งาน Windows Antimalware Scan Interface (AMSI) และเพิ่มตัวเองเข้าไปในรายการยกเว้นของ Windows Defender Antivirus

ฟังก์ชันการทำงานหลักของ VietCredCare โดยเฉพาะอย่างยิ่งความสามารถในการกรองข้อมูลประจำตัวของ Facebook ก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรทั้งภาครัฐและเอกชน หากบัญชีที่ละเอียดอ่อนถูกบุกรุก อาจส่งผลเสียต่อชื่อเสียงและการเงินอย่างรุนแรงได้ เป้าหมายของมัลแวร์ขโมยข้อมูลนี้ได้รวมข้อมูลประจำตัวจากหน่วยงานต่างๆ รวมถึงหน่วยงานภาครัฐ มหาวิทยาลัย แพลตฟอร์มอีคอมเมิร์ซ ธนาคาร และบริษัทในเวียดนาม

ภัยคุกคามจากนักขโมยหลายครั้งเกิดขึ้นจากกลุ่มอาชญากรไซเบอร์ในเวียดนาม

VietCredCare เข้าร่วมกลุ่มมัลแวร์ขโมยที่มีต้นกำเนิดจากระบบนิเวศของอาชญากรไซเบอร์ในเวียดนาม ควบคู่ไปกับรุ่นก่อนๆ เช่น Ducktail และ NodeStealer ทั้งหมดนี้ออกแบบมาเพื่อกำหนดเป้าหมายบัญชี Facebook โดยเฉพาะ

แม้จะมีต้นกำเนิดร่วมกัน แต่ผู้เชี่ยวชาญยังไม่ได้สร้างการเชื่อมโยงที่เป็นรูปธรรมระหว่างสายพันธุ์ขโมยต่างๆ เหล่านี้ Ducktail มีฟังก์ชันที่แตกต่างกัน และถึงแม้ NodeStealer จะมีความคล้ายคลึงกัน แต่ฟังก์ชันหลังกลับแตกต่างออกไปโดยใช้เซิร์ฟเวอร์ Command-and-Control (C2) แทน Telegram โดยมีความแตกต่างในโปรไฟล์เหยื่อที่เป็นเป้าหมาย

อย่างไรก็ตาม โมเดลธุรกิจ SaaS เป็นช่องทางสำหรับผู้คุกคามที่มีความเชี่ยวชาญทางเทคนิคเพียงเล็กน้อยในการมีส่วนร่วมในอาชญากรรมทางไซเบอร์ การเข้าถึงนี้ช่วยเพิ่มจำนวนเหยื่อผู้บริสุทธิ์ที่ตกเป็นเหยื่อของกิจกรรมที่เป็นอันตรายดังกล่าว