VietCredCare Hırsızı
Ağustos 2022'den bu yana Vietnam'daki Facebook reklamverenleri, VietCredCare adlı daha önce kimliği belirlenemeyen bir bilgi hırsızının saldırısına uğradı. Bu kötü amaçlı yazılım, ele geçirilen cihazlardan çalınan Facebook oturum çerezlerini ve kimlik bilgilerini otomatik olarak tarama yeteneğiyle öne çıkıyor. Daha sonra, hedeflenen hesapların işletme profillerini denetleyip denetlemediğini ve uygun bir Meta reklam kredi bakiyesine sahip olup olmadığını değerlendirir.
Bu yaygın kötü amaçlı yazılım saldırısı kampanyasının nihai hedefi, kurumsal Facebook hesaplarının izinsiz olarak ele geçirilmesini sağlamaktır. Odak noktası, önde gelen işletme ve kuruluşların Facebook profillerini yöneten Vietnam'daki bireylerdir. Başarılı bir şekilde ele geçirilen bu Facebook hesapları, operasyonun arkasındaki tehdit aktörleri için bir araç haline geliyor. Bu hesapları siyasi içerik yaymak veya kimlik avı ve bağlı kuruluş dolandırıcılıklarını teşvik etmek için kullanırlar ve sonuçta mali kazanç elde ederler.
İçindekiler
VietCredCare Hırsızı Diğer Kripto Suçlulara Satışa Sunuldu
VietCredCare, Hizmet Olarak Hırsız (SaaS) olarak faaliyet gösteriyor ve kullanılabilirliği hevesli siber suçlulara kadar uzanıyor. Bu hizmete ilişkin reklamlar Facebook, YouTube ve Telegram dahil olmak üzere çeşitli platformlarda bulunabilir. Operasyonun Vietnamca bilen kişiler tarafından denetlendiğine inanılıyor.
Potansiyel müşteriler, kötü amaçlı yazılımın geliştiricileri tarafından yönetilen bir botnet'e erişim satın almak veya kişisel kullanım veya yeniden satış için kaynak kodunu almak arasında seçim yapabilir. Ek olarak müşterilere, virüs bulaşmış cihazlardan kimlik bilgilerinin çıkarılması ve teslim edilmesi için tasarlanmış özelleştirilmiş bir Telegram botu da sunuluyor.
.NET çerçevesi üzerine inşa edilen bu kötü amaçlı yazılım, sosyal medya gönderileri ve anlık mesajlaşma platformlarında paylaşılan bağlantılar aracılığıyla yayılıyor. Kendini akıllı bir şekilde Microsoft Office veya Acrobat Reader gibi yasal yazılımlar gibi gizleyerek kullanıcıları aldatıcı web sitelerinden farkında olmadan kötü amaçlı içerik yüklemeleri konusunda kandırır.
VietCredCare Hırsızı Hassas Verileri Ele Geçirebilir
VietCredCare Stealer, Google Chrome, Microsoft Edge ve Cốc Cốc gibi tanınmış Web tarayıcılarından kimlik bilgilerini, çerezleri ve oturum kimliklerini çıkarma gibi öne çıkan özelliğiyle kendisini diğer hırsız kötü amaçlı yazılım tehditlerinden ayırıyor ve Vietnam bağlamına odaklandığının altını çiziyor.
Bunun da ötesinde, bir kurbanın IP adresini alarak, bir Facebook hesabının bir işletme profiliyle ilişkili olup olmadığını tespit ederek ve hesabın şu anda herhangi bir reklamı yönetip yönetmediğini değerlendirerek bir adım daha ileri gidiyor. Eş zamanlı olarak, tespit edilmekten kaçınmak için Windows Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü (AMSI) devre dışı bırakmak ve kendisini Windows Defender Antivirus'ün dışlama listesine eklemek gibi kaçırma taktikleri kullanır.
VietCredCare'in temel işlevselliği, özellikle de Facebook kimlik bilgilerini filtreleme konusundaki yeterliliği, hem kamu hem de özel sektördeki kuruluşlar için önemli bir risk oluşturmaktadır. Hassas hesapların ele geçirilmesi ciddi itibar ve mali sonuçlara yol açabilir. Bu hırsız kötü amaçlı yazılımın hedefleri arasında devlet kurumları, üniversiteler, e-ticaret platformları, bankalar ve Vietnam şirketleri de dahil olmak üzere çeşitli kuruluşların kimlik bilgileri yer alıyor.
Vietnamlı Siber Suç Gruplarından Çeşitli Hırsızlık Tehditleri Ortaya Çıktı
VietCredCare, tamamı Facebook hesaplarını hedeflemek için özel olarak tasarlanmış Ducktail ve NodeStealer gibi öncüllerin yanı sıra, Vietnam siber suç ekosisteminden kaynaklanan hırsız kötü amaçlı yazılımlar arasına katılıyor.
Ortak kökenlerine rağmen uzmanlar bu çeşitli hırsız türleri arasında henüz somut bir bağlantı kurabilmiş değil. Ducktail farklı işlevler sergiliyor ve NodeStealer ile bazı benzerlikler olsa da ikincisi, hedef kurban profillerindeki farklılıklarla Telegram yerine Komuta ve Kontrol (C2) sunucusu kullanması nedeniyle farklılık gösteriyor.
Bununla birlikte, SaaS iş modeli, minimum düzeyde teknik uzmanlığa sahip tehdit aktörlerinin siber suçlara karışması için bir yol sağlar. Bu erişilebilirlik, bu tür zararlı faaliyetlerin kurbanı olan masum kurbanların sayısının artmasına katkıda bulunuyor.
