VietCredCare Stealer retter sig mod ofre i Vietnam

Siden mindst august 2022 er annoncører på Facebook i Vietnam blevet målrettet af en ukendt informationstjælende malware kendt som VietCredCare. Denne ondsindede software er bemærkelsesværdig for dens automatiske filtrering af Facebook-sessionscookies og stjålne legitimationsoplysninger fra kompromitterede enheder. Den evaluerer, om de målrettede konti administrerer forretningsprofiler og opretholder en positiv Meta-annoncekreditsaldo, ifølge en rapport fra Singapore-baserede Group-IB.

Det primære formål med denne udbredte malwaredistribution er at overtage virksomhedens Facebook-konti, med fokus på vietnamesiske personer, der er ansvarlige for at administrere profiler for fremtrædende virksomheder og organisationer. Når de først er blevet beslaglagt, bliver disse kompromitterede konti brugt af trusselsaktører til at poste politisk indhold eller udbrede phishing- og affiliate-svindel for økonomisk vinding.

VietCredCare sælges som en malware-tjeneste

VietCredCare opererer under en stealer-as-a-service-model og annonceres på platforme som Facebook, YouTube og Telegram. Det menes at blive styret af personer, der taler vietnamesisk. Potentielle kunder kan enten købe adgang til et botnet, der administreres af malwarens udviklere eller erhverve kildekoden til videresalg eller personlig brug. Derudover er kunderne forsynet med en tilpasset Telegram-bot til at håndtere eksfiltrering og levering af legitimationsoplysninger fra inficerede enheder.

Den .NET-baserede malware, der distribueres gennem links på falske websteder i opslag på sociale medier og platforme til onlinemeddelelser, forklæder sig som legitim software som Microsoft Office eller Acrobat Reader for at narre brugere til at installere den. En nøglefunktion ved VietCredCare er dens evne til at udtrække legitimationsoplysninger, cookies og sessions-id'er fra webbrowsere som Google Chrome, Microsoft Edge og Cốc Cốc, hvilket understreger dets fokus på vietnamesiske mål.

Malwaren kan også hente et offers IP-adresse, afgøre, om en Facebook-konto er en virksomhedsprofil, og vurdere, om kontoen i øjeblikket administrerer nogen annoncer. For at undgå opdagelse træffer den foranstaltninger såsom at deaktivere Windows Antimalware Scan Interface (AMSI) og tilføje sig selv til undtagelseslisten for Windows Defender Antivirus. Talrige legitimationsoplysninger fra statslige agenturer, universiteter, e-handelsplatforme, banker og vietnamesiske virksomheder er blevet kompromitteret gennem denne stjælende malware.