VietCredCare Stealer
Mula noong Agosto 2022, ang mga advertiser sa Facebook sa Vietnam ay inatake ng isang hindi pa nakikilalang magnanakaw ng impormasyon na tinatawag na VietCredCare. Ang malware na ito ay namumukod-tangi sa kakayahan nitong awtomatikong magsala sa mga cookies ng session ng Facebook at mga kredensyal na kinuha mula sa mga nakompromisong device. Pagkatapos, sinusuri nito kung pinangangasiwaan ng mga naka-target na account ang mga profile ng negosyo at nagtataglay ng paborableng balanse sa Meta ad credit.
Ang pinakalayunin ng malawakang kampanyang pag-atake ng malware na ito ay upang paganahin ang hindi awtorisadong pagkuha ng mga corporate Facebook account. Ang focus ay sa mga indibidwal sa Vietnam na namamahala sa mga profile sa Facebook ng mga kilalang negosyo at organisasyon. Kapag matagumpay na nakompromiso, ang mga nasamsam na Facebook account na ito ay naging mga kasangkapan para sa mga banta ng aktor sa likod ng operasyon. Ginagamit nila ang mga account na ito para magpakalat ng pampulitikang content o mag-promote ng phishing at mga affiliate na scam, na sa huli ay naglalayong makakuha ng pinansyal na pakinabang.
Talaan ng mga Nilalaman
Ang VietCredCare Stealer ay Inaalok para ibenta sa Iba Pang Crybercriminals
Gumagana ang VietCredCare bilang Stealer-as-a-Service (SaaS), at ang pagkakaroon nito ay umaabot sa mga naghahangad na cybercriminal. Ang mga ad para sa serbisyong ito ay matatagpuan sa iba't ibang mga platform, kabilang ang Facebook, YouTube at Telegram. Ang operasyon ay pinaniniwalaang pinangangasiwaan ng mga indibidwal na bihasa sa wikang Vietnamese.
Maaaring pumili ang mga inaasahang customer sa pagitan ng pagbili ng access sa isang botnet na pinamamahalaan ng mga developer ng malware o pagkuha ng source code para sa personal na paggamit o muling pagbebenta. Bukod pa rito, binibigyan ang mga customer ng customized na Telegram bot na idinisenyo upang pangasiwaan ang pagkuha at paghahatid ng mga kredensyal mula sa mga nahawaang device.
Ang malware na ito, na binuo sa .NET framework, ay ipinakalat sa pamamagitan ng mga link na ibinahagi sa mga post sa social media at mga platform ng instant messaging. Ito ay matalinong nagkukunwari bilang lehitimong software, gaya ng Microsoft Office o Acrobat Reader, na niloloko ang mga user na hindi sinasadyang mag-install ng malisyosong content mula sa mga mapanlinlang na website.
Maaaring Ikompromiso ng VietCredCare Stealer ang Sensitibong Data
Nakikilala ng VietCredCare Stealer ang sarili nito mula sa iba pang banta ng malware ng stealer gamit ang kitang-kitang feature nito ng pagkuha ng mga kredensyal, cookies, at session ID mula sa mga kilalang Web browser tulad ng Google Chrome, Microsoft Edge, at Cốc Cốc, na binibigyang-diin ang pagtuon nito sa kontekstong Vietnamese.
Higit pa rito, nagpapatuloy ito sa pamamagitan ng pagkuha ng IP address ng biktima, pagtukoy kung nauugnay ang isang Facebook account sa isang profile ng negosyo, at pagsusuri kung kasalukuyang namamahala ang account ng anumang mga advertisement. Kasabay nito, gumagamit ito ng mga taktika sa pag-iwas upang maiwasan ang pagtuklas, tulad ng hindi pagpapagana ng Windows Antimalware Scan Interface (AMSI) at pagdaragdag ng sarili nito sa listahan ng pagbubukod ng Windows Defender Antivirus.
Ang pangunahing functionality ng VietCredCare, lalo na ang kahusayan nito sa pag-filter ng mga kredensyal sa Facebook, ay nagdudulot ng malaking panganib sa mga organisasyon sa publiko at pribadong sektor. Kung ang mga sensitibong account ay nakompromiso, maaari itong humantong sa malubhang reputasyon at pinansyal na kahihinatnan. Ang mga target ng magnanakaw na malware na ito ay may kasamang mga kredensyal mula sa iba't ibang entity, kabilang ang mga ahensya ng gobyerno, unibersidad, platform ng e-commerce, mga bangko at mga kumpanyang Vietnamese.
Ilang Banta sa Magnanakaw ang Lumabas mula sa Vietnamese Cybercriminal Groups
Sumali ang VietCredCare sa hanay ng magnanakaw na malware na nagmula sa Vietnamese cybercriminal ecosystem, kasama ng mga nauna tulad ng Ducktail at NodeStealer, lahat ay partikular na idinisenyo upang i-target ang mga Facebook account.
Sa kabila ng kanilang ibinahaging pinagmulan, ang mga eksperto ay hindi pa nakakapagtatag ng isang konkretong ugnayan sa pagitan ng iba't ibang mga stealer strain na ito. Ang Ducktail ay nagpapakita ng mga natatanging function, at habang may ilang pagkakatulad sa NodeStealer, ang huli ay nag-iiba sa pamamagitan ng paggamit ng Command-and-Control (C2) server sa halip na Telegram, na may mga pagkakaiba sa kanilang mga target na profile ng biktima.
Gayunpaman, ang modelo ng negosyo ng SaaS ay nagbibigay ng isang paraan para sa mga aktor ng pagbabanta na may kaunting teknikal na kadalubhasaan upang makisali sa cybercrime. Ang pagiging naa-access na ito ay nag-aambag sa pagtaas ng bilang ng mga inosenteng biktima na nabiktima ng gayong mga mapaminsalang aktibidad.
