Kẻ Trộm VietCredCare
Kể từ tháng 8 năm 2022, các nhà quảng cáo trên Facebook tại Việt Nam đã bị tấn công bởi kẻ đánh cắp thông tin chưa xác định trước đó có tên VietCredCare. Phần mềm độc hại này nổi bật nhờ khả năng tự động sàng lọc cookie phiên Facebook và thông tin đăng nhập bị đánh cắp từ các thiết bị bị xâm nhập. Sau đó, nó đánh giá xem các tài khoản được nhắm mục tiêu có giám sát hồ sơ doanh nghiệp và có số dư tín dụng quảng cáo Meta thuận lợi hay không.
Mục tiêu cuối cùng của chiến dịch tấn công phần mềm độc hại phổ biến này là cho phép chiếm đoạt trái phép tài khoản Facebook của công ty. Trọng tâm là các cá nhân tại Việt Nam quản lý hồ sơ Facebook của các doanh nghiệp và tổ chức nổi tiếng. Sau khi bị xâm phạm thành công, những tài khoản Facebook bị tịch thu này sẽ trở thành công cụ cho những kẻ đứng sau hoạt động đe dọa. Họ sử dụng các tài khoản này để phổ biến nội dung chính trị hoặc quảng bá lừa đảo và lừa đảo liên kết, cuối cùng nhằm mục đích thu lợi tài chính.
Mục lục
Kẻ đánh cắp VietCredCare đang được chào bán cho tội phạm mạng khác
VietCredCare hoạt động dưới dạng Kẻ đánh cắp dưới dạng dịch vụ (SaaS) và tính khả dụng của nó mở rộng cho các tội phạm mạng đầy tham vọng. Quảng cáo cho dịch vụ này có thể được tìm thấy trên nhiều nền tảng khác nhau, bao gồm Facebook, YouTube và Telegram. Hoạt động này được cho là được giám sát bởi những cá nhân thành thạo tiếng Việt.
Khách hàng tiềm năng có thể chọn giữa việc mua quyền truy cập vào mạng botnet do nhà phát triển phần mềm độc hại quản lý hoặc mua mã nguồn để sử dụng cá nhân hoặc bán lại. Ngoài ra, khách hàng còn được cung cấp bot Telegram tùy chỉnh được thiết kế để xử lý việc trích xuất và gửi thông tin xác thực từ các thiết bị bị nhiễm.
Phần mềm độc hại này, được xây dựng trên .NET framework, được phát tán thông qua các liên kết được chia sẻ trong các bài đăng trên mạng xã hội và nền tảng nhắn tin tức thời. Nó khéo léo ngụy trang thành phần mềm hợp pháp, chẳng hạn như Microsoft Office hoặc Acrobat Reader, lừa người dùng vô tình cài đặt nội dung độc hại từ các trang web lừa đảo.
Kẻ đánh cắp VietCredCare có thể xâm phạm dữ liệu nhạy cảm
VietCredCare Stealer khác biệt với các mối đe dọa phần mềm độc hại đánh cắp còn lại nhờ tính năng nổi bật là trích xuất thông tin xác thực, cookie và ID phiên từ các trình duyệt Web nổi tiếng như Google Chrome, Microsoft Edge và Cốc Cốc, nhấn mạnh sự tập trung của nó vào bối cảnh Việt Nam.
Ngoài ra, nó còn tiến thêm một bước nữa bằng cách truy xuất địa chỉ IP của nạn nhân, xác định xem tài khoản Facebook có được liên kết với hồ sơ doanh nghiệp hay không và đánh giá xem tài khoản đó hiện có đang quản lý bất kỳ quảng cáo nào hay không. Đồng thời, nó sử dụng các chiến thuật trốn tránh để tránh bị phát hiện, chẳng hạn như vô hiệu hóa Giao diện quét phần mềm độc hại của Windows (AMSI) và tự thêm chính nó vào danh sách loại trừ của Windows Defender Antivirus.
Chức năng cốt lõi của VietCredCare, đặc biệt là khả năng lọc thông tin xác thực của Facebook, gây ra rủi ro đáng kể cho các tổ chức ở cả khu vực công và tư nhân. Nếu các tài khoản nhạy cảm bị xâm phạm, nó có thể dẫn đến hậu quả nghiêm trọng về danh tiếng và tài chính. Mục tiêu của phần mềm độc hại đánh cắp này bao gồm thông tin xác thực từ nhiều tổ chức khác nhau, bao gồm các cơ quan chính phủ, trường đại học, nền tảng thương mại điện tử, ngân hàng và các công ty Việt Nam.
Một số mối đe dọa đánh cắp đã xuất hiện từ các nhóm tội phạm mạng Việt Nam
VietCredCare gia nhập hàng ngũ phần mềm độc hại đánh cắp có nguồn gốc từ hệ sinh thái tội phạm mạng Việt Nam, bên cạnh những kẻ tiền nhiệm như Ducktail và NodeStealer, tất cả đều được thiết kế đặc biệt để nhắm mục tiêu vào tài khoản Facebook.
Mặc dù có chung nguồn gốc nhưng các chuyên gia vẫn chưa thiết lập được mối liên hệ cụ thể giữa các chủng ăn cắp khác nhau này. Ducktail thể hiện các chức năng riêng biệt và mặc dù có một số điểm tương đồng với NodeStealer, nhưng NodeStealer lại khác biệt bằng cách sử dụng máy chủ Chỉ huy và Kiểm soát (C2) thay vì Telegram, với sự khác biệt trong hồ sơ nạn nhân mục tiêu của chúng.
Tuy nhiên, mô hình kinh doanh SaaS cung cấp cơ hội cho những kẻ đe dọa có chuyên môn kỹ thuật tối thiểu tham gia vào tội phạm mạng. Khả năng tiếp cận này góp phần làm tăng số nạn nhân vô tội trở thành nạn nhân của những hoạt động có hại như vậy.
