Ladrón de VietCredCare apunta a víctimas en Vietnam

Desde al menos agosto de 2022, los anunciantes de Facebook en Vietnam han sido atacados por un malware desconocido que roba información conocido como VietCredCare. Este software malicioso destaca por su filtrado automático de cookies de sesión de Facebook y credenciales robadas de dispositivos comprometidos. Evalúa si las cuentas objetivo gestionan perfiles comerciales y mantienen un saldo de crédito meta publicitario positivo, según un informe del Group-IB, con sede en Singapur.

El objetivo principal de esta distribución generalizada de malware es apoderarse de cuentas corporativas de Facebook, centrándose en individuos vietnamitas responsables de gestionar perfiles de empresas y organizaciones destacadas. Una vez incautadas con éxito, estas cuentas comprometidas son utilizadas por actores de amenazas para publicar contenido político o propagar phishing y estafas de afiliados para obtener ganancias financieras.

VietCredCare se vende como un servicio de malware

VietCredCare opera bajo un modelo de ladrón como servicio y se anuncia en plataformas como Facebook, YouTube y Telegram. Se cree que está dirigido por personas que hablan vietnamita. Los clientes potenciales pueden comprar acceso a una botnet administrada por los desarrolladores del malware o adquirir el código fuente para reventa o uso personal. Además, los clientes reciben un bot de Telegram personalizado para manejar la exfiltración y entrega de credenciales de dispositivos infectados.

Distribuido a través de enlaces en sitios falsos en publicaciones de redes sociales y plataformas de mensajería instantánea, el malware basado en .NET se disfraza de software legítimo como Microsoft Office o Acrobat Reader para engañar a los usuarios para que lo instalen. Una característica clave de VietCredCare es su capacidad para extraer credenciales, cookies e ID de sesión de navegadores web como Google Chrome, Microsoft Edge y Cốc Cốc, lo que enfatiza su enfoque en objetivos vietnamitas.

El malware también puede recuperar la dirección IP de una víctima, determinar si una cuenta de Facebook es un perfil comercial y evaluar si la cuenta actualmente administra algún anuncio. Para evitar la detección, toma medidas como deshabilitar la interfaz de escaneo antimalware de Windows (AMSI) y agregarse a la lista de exclusión de Windows Defender Antivirus. Numerosas credenciales de agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas se han visto comprometidas a través de este malware ladrón.