VietCredCare Stealer

自 2022 年 8 月以来，越南的 Facebook 广告商一直受到名为 VietCredCare 的身份不明的信息窃取者的攻击。该恶意软件因其能够自动筛选从受感染设备窃取的 Facebook 会话 cookie 和凭据而脱颖而出。然后，它会评估目标帐户是否监督业务概况并拥有有利的元广告信用余额。

这种广泛的恶意软件攻击活动的最终目标是未经授权接管企业 Facebook 帐户。重点关注越南管理知名企业和组织 Facebook 个人资料的个人。一旦成功入侵，这些被查封的 Facebook 帐户就会成为行动背后的威胁行为者的工具。他们利用这些帐户传播政治内容或宣传网络钓鱼和联属诈骗，最终目的是获取经济利益。

VietCredCare 窃取者正被出售给其他网络犯罪分子

VietCredCare 作为窃取者即服务 (SaaS) 运营，其可用性扩展到有抱负的网络犯罪分子。该服务的广告可以在各种平台上找到，包括 Facebook、YouTube 和 Telegram。据信，该行动是由精通越南语的人员监督的。

潜在客户可以选择购买由恶意软件开发人员管理的僵尸网络的访问权限，或者获取源代码供个人使用或转售。此外，还为客户提供了一个定制的 Telegram 机器人，旨在处理从受感染设备提取和传递凭证的情况。

这种恶意软件基于 .NET 框架构建，通过社交媒体帖子和即时消息平台中共享的链接进行传播。它巧妙地将自己伪装成合法软件，例如 Microsoft Office 或 Acrobat Reader，诱骗用户无意中安装来自欺骗性网站的恶意内容。

VietCredCare 窃取者可能会泄露敏感数据

VietCredCare Stealer 与其他窃取恶意软件威胁的区别在于，它具有从 Google Chrome、Microsoft Edge 和 Cốc Cốc 等知名 Web 浏览器中提取凭证、cookie 和会话 ID 的突出功能，强调了其对越南环境的关注。

除此之外，它还进一步检索受害者的 IP 地址，辨别 Facebook 帐户是否与企业资料相关联，并评估该帐户当前是否正在管理任何广告。同时，它采用规避策略来避免检测，例如禁用 Windows 反恶意软件扫描接口 (AMSI) 并将自身添加到 Windows Defender 防病毒的排除列表中。

VietCredCare 的核心功能，特别是其过滤 Facebook 凭据的能力，给公共和私营部门的组织带来了重大风险。如果敏感帐户遭到泄露，可能会导致严重的声誉和财务后果。这种窃取恶意软件的目标包括来自各个实体的凭证，包括政府机构、大学、电子商务平台、银行和越南公司。

越南网络犯罪组织出现了多种窃取者威胁

VietCredCare 加入了源自越南网络犯罪生态系统的窃取恶意软件的行列，与Ducktail和NodeStealer 等前辈一起，所有这些恶意软件都是专门针对 Facebook 帐户而设计的。

尽管它们具有共同的起源，但专家们尚未确定这些不同的窃取菌株之间的具体联系。 Ducktail 表现出独特的功能，虽然与 NodeStealer 存在一些相似之处，但后者的不同之处在于使用命令与控制 (C2) 服务器而不是 Telegram，其目标受害者资料也有所不同。

尽管如此，SaaS 业务模式为具有最少技术专业知识的威胁参与者提供了参与网络犯罪的途径。这种可及性导致更多无辜受害者成为此类有害活动的牺牲品。