Ο κλέφτης VietCredCare στοχεύει θύματα στο Βιετνάμ

Τουλάχιστον από τον Αύγουστο του 2022, οι διαφημιστές στο Facebook στο Βιετνάμ έχουν γίνει στόχος ενός άγνωστου κακόβουλου λογισμικού κλοπής πληροφοριών γνωστό ως VietCredCare. Αυτό το κακόβουλο λογισμικό είναι αξιοσημείωτο για το αυτόματο φιλτράρισμα των cookie συνεδρίας του Facebook και των κλεμμένων διαπιστευτηρίων από παραβιασμένες συσκευές. Αξιολογεί εάν οι στοχευμένοι λογαριασμοί διαχειρίζονται τα επιχειρηματικά προφίλ και διατηρούν θετικό πιστωτικό υπόλοιπο για τις διαφημίσεις Meta, σύμφωνα με έκθεση του Group-IB που εδρεύει στη Σιγκαπούρη.

Ο πρωταρχικός στόχος αυτής της εκτεταμένης διανομής κακόβουλου λογισμικού είναι να καταλάβει εταιρικούς λογαριασμούς στο Facebook, εστιάζοντας σε Βιετναμέζα άτομα που είναι υπεύθυνα για τη διαχείριση των προφίλ εξεχουσών επιχειρήσεων και οργανισμών. Μετά την επιτυχή κατάσχεση, αυτοί οι παραβιασμένοι λογαριασμοί χρησιμοποιούνται από παράγοντες απειλών για τη δημοσίευση πολιτικού περιεχομένου ή τη διάδοση του phishing και τη συνεργασία με απάτες για οικονομικό όφελος.

VietCredCare Πωλείται ως υπηρεσία κακόβουλου λογισμικού

Το VietCredCare λειτουργεί με το μοντέλο κλέφτης ως υπηρεσίας και διαφημίζεται σε πλατφόρμες όπως το Facebook, το YouTube και το Telegram. Πιστεύεται ότι το διαχειρίζονται άτομα που μιλούν βιετναμέζικα. Οι πιθανοί πελάτες μπορούν είτε να αγοράσουν πρόσβαση σε ένα botnet που διαχειρίζονται οι προγραμματιστές του κακόβουλου λογισμικού είτε να αποκτήσουν τον πηγαίο κώδικα για μεταπώληση ή προσωπική χρήση. Επιπλέον, παρέχεται στους πελάτες ένα προσαρμοσμένο bot Telegram για να χειρίζονται την εξαγωγή και την παράδοση διαπιστευτηρίων από μολυσμένες συσκευές.

Διανεμημένο μέσω συνδέσμων σε ψεύτικους ιστότοπους σε αναρτήσεις μέσων κοινωνικής δικτύωσης και πλατφόρμες ανταλλαγής άμεσων μηνυμάτων, το κακόβουλο λογισμικό που βασίζεται σε .NET μεταμφιέζεται ως νόμιμο λογισμικό όπως το Microsoft Office ή το Acrobat Reader για να εξαπατήσει τους χρήστες να το εγκαταστήσουν. Ένα βασικό χαρακτηριστικό του VietCredCare είναι η ικανότητά του να εξάγει διαπιστευτήρια, cookies και αναγνωριστικά περιόδου σύνδεσης από προγράμματα περιήγησης ιστού όπως το Google Chrome, το Microsoft Edge και το Cốc Cốc, δίνοντας έμφαση στους στόχους του Βιετνάμ.

Το κακόβουλο λογισμικό μπορεί επίσης να ανακτήσει τη διεύθυνση IP ενός θύματος, να προσδιορίσει εάν ένας λογαριασμός στο Facebook είναι επαγγελματικό προφίλ και να αξιολογήσει εάν ο λογαριασμός διαχειρίζεται αυτήν τη στιγμή διαφημίσεις. Για να αποφευχθεί ο εντοπισμός, λαμβάνει μέτρα όπως η απενεργοποίηση της διεπαφής σάρωσης κατά του κακόβουλου λογισμικού των Windows (AMSI) και η προσθήκη του στη λίστα εξαιρέσεων του Windows Defender Antivirus. Πολλά διαπιστευτήρια από κυβερνητικούς φορείς, πανεπιστήμια, πλατφόρμες ηλεκτρονικού εμπορίου, τράπεζες και βιετναμέζικες εταιρείες έχουν παραβιαστεί μέσω αυτού του κακόβουλου λογισμικού κλοπής.