VietCredCare Stealer
З серпня 2022 року рекламодавці Facebook у В’єтнамі зазнали атаки з боку раніше невідомого викрадача інформації під назвою VietCredCare. Це зловмисне програмне забезпечення виділяється своєю здатністю автоматично перевіряти файли cookie сеансу Facebook та облікові дані, викрадені зі зламаних пристроїв. Після цього він оцінює, чи цільові облікові записи контролюють бізнес-профілі та чи мають сприятливий мета-кредитний баланс.
Кінцева мета цієї широко поширеної кампанії атак зловмисного програмного забезпечення полягає в тому, щоб уможливити несанкціоноване захоплення корпоративних облікових записів Facebook. Основна увага приділяється особам у В’єтнамі, які керують профілями Facebook відомих підприємств і організацій. Після успішного зламу ці конфісковані облікові записи Facebook стають інструментами для тих, хто стоїть за операцією. Вони використовують ці облікові записи для розповсюдження політичного контенту або реклами фішингу та афілійованого шахрайства, зрештою з метою отримання фінансової вигоди.
Зміст
VietCredCare Stealer пропонується для продажу іншим криберзлочинцям
VietCredCare працює як Stealer-as-a-Service (SaaS), і його доступність поширюється на початківців кіберзлочинців. Оголошення цієї послуги можна знайти на різних платформах, включаючи Facebook, YouTube і Telegram. Вважається, що операцією керують особи, які володіють в'єтнамською мовою.
Потенційні клієнти можуть вибрати між придбанням доступу до ботнету, яким керують розробники зловмисного ПЗ, або придбанням вихідного коду для особистого користування чи перепродажу. Крім того, клієнтам надається налаштований бот Telegram, призначений для вилучення та доставки облікових даних із заражених пристроїв.
Це зловмисне програмне забезпечення, створене на базі .NET Framework, поширюється за посиланнями в публікаціях у соціальних мережах і на платформах обміну миттєвими повідомленнями. Воно вміло маскується під законне програмне забезпечення, таке як Microsoft Office або Acrobat Reader, обманом змушуючи користувачів мимоволі встановлювати шкідливий вміст із оманливих веб-сайтів.
VietCredCare Stealer може скомпрометувати конфіденційні дані
VietCredCare Stealer вирізняється з-поміж решти загроз зловмисного програмного забезпечення-викрадача своєю видатною функцією вилучення облікових даних, файлів cookie та ідентифікаторів сеансу з добре відомих веб-браузерів, таких як Google Chrome, Microsoft Edge і Cốc Cốc, що підкреслює його зосередженість на в’єтнамському контексті.
Крім того, він йде ще далі, отримуючи IP-адресу жертви, визначаючи, чи пов’язаний обліковий запис Facebook із бізнес-профілем, і оцінюючи, чи обліковий запис зараз керує будь-якою рекламою. Одночасно він використовує тактику ухилення, щоб уникнути виявлення, наприклад, вимикає інтерфейс Windows Antimalware Scan Interface (AMSI) і додає себе до списку виключень антивірусу Windows Defender.
Основні функції VietCredCare, зокрема його вміння фільтрувати облікові дані Facebook, становлять значний ризик для організацій як у державному, так і в приватному секторах. Якщо конфіденційні облікові записи зламано, це може призвести до серйозних репутаційних і фінансових наслідків. Цілі цієї зловмисної програми-викрадача включали облікові дані від різних організацій, зокрема державних установ, університетів, платформ електронної комерції, банків і в’єтнамських компаній.
З в’єтнамських груп кіберзлочинців виникло кілька загроз-викрадачів
VietCredCare приєднується до рядів зловмисних програм-викрадачів, які походять із в’єтнамської екосистеми кіберзлочинців, разом із попередниками, такими як Ducktail і NodeStealer, усі спеціально розроблені для націлювання на облікові записи Facebook.
Незважаючи на спільне походження, експерти ще не встановили конкретний зв’язок між цими різними видами крадіїв. Ducktail демонструє відмінні функції, і хоча існує певна схожість з NodeStealer, останній відрізняється використанням командно-контрольного (C2) сервера замість Telegram, з відмінностями в їхніх профілях цільових жертв.
Тим не менш, бізнес-модель SaaS надає можливість загрозам з мінімальними технічними знаннями брати участь у кіберзлочинності. Така доступність сприяє збільшенню кількості невинних жертв, які стають жертвами такої шкідливої діяльності.
