VietCredCare Stealer nimmt Opfer in Vietnam ins Visier

Mindestens seit August 2022 sind Werbetreibende auf Facebook in Vietnam Ziel einer unbekannten Malware zum Informationsdiebstahl namens VietCredCare. Diese Schadsoftware zeichnet sich durch die automatische Filterung von Facebook-Sitzungscookies und gestohlenen Zugangsdaten von kompromittierten Geräten aus. Laut einem Bericht der in Singapur ansässigen Group-IB wird bewertet, ob die Zielkonten Geschäftsprofile verwalten und ein positives Guthaben für Meta-Anzeigen aufrechterhalten.

Das Hauptziel dieser weit verbreiteten Malware-Verbreitung besteht darin, Unternehmens-Facebook-Konten zu übernehmen, wobei der Schwerpunkt auf vietnamesischen Personen liegt, die für die Verwaltung von Profilen bekannter Unternehmen und Organisationen verantwortlich sind. Sobald diese kompromittierten Konten erfolgreich beschlagnahmt wurden, werden sie von Bedrohungsakteuren genutzt, um politische Inhalte zu veröffentlichen oder Phishing- und Affiliate-Betrügereien aus finanziellen Gründen zu verbreiten.

VietCredCare wird als Malware-Service verkauft

VietCredCare arbeitet nach einem Stealer-as-a-Service-Modell und wird auf Plattformen wie Facebook, YouTube und Telegram beworben. Es wird angenommen, dass es von Personen verwaltet wird, die Vietnamesisch sprechen. Potenzielle Kunden können entweder Zugang zu einem von den Entwicklern der Malware verwalteten Botnetz erwerben oder den Quellcode zum Weiterverkauf oder zur persönlichen Nutzung erwerben. Darüber hinaus erhalten Kunden einen maßgeschneiderten Telegram-Bot, der die Exfiltration und Übermittlung von Anmeldeinformationen von infizierten Geräten übernimmt.

Die .NET-basierte Malware wird über Links auf gefälschten Websites in Social-Media-Beiträgen und Instant-Messaging-Plattformen verbreitet und tarnt sich als legitime Software wie Microsoft Office oder Acrobat Reader, um Benutzer zur Installation zu verleiten. Ein Hauptmerkmal von VietCredCare ist die Fähigkeit, Anmeldeinformationen, Cookies und Sitzungs-IDs aus Webbrowsern wie Google Chrome, Microsoft Edge und Cốc Cốc zu extrahieren, was den Schwerpunkt auf vietnamesische Zielgruppen legt.

Die Malware kann auch die IP-Adresse eines Opfers abrufen, feststellen, ob es sich bei einem Facebook-Konto um ein Unternehmensprofil handelt, und beurteilen, ob über das Konto derzeit Anzeigen verwaltet werden. Um einer Erkennung zu entgehen, ergreift es Maßnahmen wie die Deaktivierung der Windows Antimalware Scan Interface (AMSI) und die Aufnahme in die Ausschlussliste von Windows Defender Antivirus. Zahlreiche Zugangsdaten von Regierungsbehörden, Universitäten, E-Commerce-Plattformen, Banken und vietnamesischen Unternehmen wurden durch diese Stealer-Malware kompromittiert.