VietCredCare Stealer
自 2022 年 8 月以來,越南的 Facebook 廣告商一直受到名為 VietCredCare 的身份不明的資訊竊取者的攻擊。該惡意軟體因其能夠自動篩選從受感染裝置竊取的 Facebook 會話 cookie 和憑證而脫穎而出。然後,它會評估目標帳戶是否監督業務概況並擁有有利的元廣告信用餘額。
這種廣泛的惡意軟體攻擊活動的最終目標是未經授權接管企業 Facebook 帳戶。重點關注越南管理知名企業和組織 Facebook 個人資料的個人。一旦成功入侵,這些被查封的 Facebook 帳號就會成為行動背後的威脅行為者的工具。他們利用這些帳號傳播政治內容或宣傳網路釣魚和聯盟詐騙,最終目的是取得經濟利益。
目錄
VietCredCare 竊取者正被出售給其他網路犯罪分子
VietCredCare 作為竊取者即服務 (SaaS) 運營,其可用性擴展到有抱負的網路犯罪分子。該服務的廣告可以在各種平台上找到,包括 Facebook、YouTube 和 Telegram。據信,該行動是由精通越南語的人員監督的。
潛在客戶可以選擇購買由惡意軟體開發人員管理的殭屍網路的存取權限,或取得原始程式碼供個人使用或轉售。此外,還為客戶提供了一個客製化的 Telegram 機器人,旨在處理從受感染設備提取和傳遞憑證的情況。
這種惡意軟體基於 .NET 框架構建,透過社交媒體貼文和即時通訊平台中共享的連結進行傳播。它巧妙地將自己偽裝成合法軟體,例如 Microsoft Office 或 Acrobat Reader,誘騙用戶無意中安裝來自欺騙性網站的惡意內容。
VietCredCare 竊取者可能會洩漏敏感數據
VietCredCare Stealer 與其他竊取惡意軟體威脅的區別在於,它具有從 Google Chrome、Microsoft Edge 和 Cốc Cốc 等知名 Web 瀏覽器中提取憑證、cookie 和會話 ID 的突出功能,強調了其對越南環境的關注。
除此之外,它還進一步檢索受害者的 IP 位址,辨別 Facebook 帳戶是否與企業資料相關聯,並評估該帳戶目前是否正在管理任何廣告。同時,它採用規避策略來避免偵測,例如停用 Windows 反惡意軟體掃描介面 (AMSI) 並將自身新增至 Windows Defender 防毒的排除清單中。
VietCredCare 的核心功能,特別是其過濾 Facebook 憑證的能力,為公共和私營部門的組織帶來了重大風險。如果敏感帳戶遭到洩露,可能會導致嚴重的聲譽和財務後果。這種竊取惡意軟體的目標包括來自各個實體的憑證,包括政府機構、大學、電子商務平台、銀行和越南公司。
越南網路犯罪組織出現了多種竊取者威脅
VietCredCare 加入了源自越南網路犯罪生態系統的竊取惡意軟體的行列,與Ducktail和NodeStealer 等前輩一起,所有這些惡意軟體都是專門針對 Facebook 帳戶而設計的。
儘管它們具有共同的起源,但專家尚未確定這些不同的竊取菌株之間的具體關聯。 Ducktail 表現出獨特的功能,雖然與 NodeStealer 存在一些相似之處,但後者的不同之處在於使用命令與控制 (C2) 伺服器而不是 Telegram,其目標受害者資料也有所不同。
儘管如此,SaaS 業務模式為具有最少技術專業知識的威脅參與者提供了參與網路犯罪的途徑。這種可及性導致更多無辜受害者成為此類有害活動的受害者。
