Le voleur VietCredCare cible les victimes au Vietnam

Depuis au moins août 2022, les annonceurs sur Facebook au Vietnam sont ciblés par un malware voleur d'informations inconnu connu sous le nom de VietCredCare. Ce logiciel malveillant se distingue par son filtrage automatique des cookies de session Facebook et des informations d'identification volées sur les appareils compromis. Il évalue si les comptes ciblés gèrent les profils commerciaux et maintiennent un solde de crédit publicitaire Meta positif, selon un rapport du Group-IB basé à Singapour.

L'objectif principal de cette distribution généralisée de logiciels malveillants est de s'emparer des comptes Facebook d'entreprise, en se concentrant sur les individus vietnamiens responsables de la gestion des profils d'entreprises et d'organisations de premier plan. Une fois saisis avec succès, ces comptes compromis sont utilisés par les acteurs malveillants pour publier du contenu politique ou propager des escroqueries par phishing et par affiliation à des fins financières.

VietCredCare vendu comme service de logiciel malveillant

VietCredCare fonctionne selon un modèle de vol en tant que service et est annoncé sur des plateformes telles que Facebook, YouTube et Telegram. On pense qu'il est géré par des personnes parlant vietnamien. Les clients potentiels peuvent soit acheter l'accès à un botnet géré par les développeurs du malware, soit acquérir le code source pour le revendre ou pour un usage personnel. De plus, les clients disposent d'un robot Telegram personnalisé pour gérer l'exfiltration et la fourniture des informations d'identification des appareils infectés.

Distribué via des liens sur de faux sites dans des publications sur les réseaux sociaux et des plateformes de messagerie instantanée, le malware basé sur .NET se déguise en logiciel légitime comme Microsoft Office ou Acrobat Reader pour inciter les utilisateurs à l'installer. Une caractéristique clé de VietCredCare est sa capacité à extraire les informations d'identification, les cookies et les identifiants de session des navigateurs Web tels que Google Chrome, Microsoft Edge et Cốc Cốc, mettant ainsi l'accent sur les cibles vietnamiennes.

Le malware peut également récupérer l'adresse IP d'une victime, déterminer si un compte Facebook est un profil professionnel et évaluer si le compte gère actuellement des publicités. Pour éviter toute détection, il prend des mesures telles que la désactivation de l'interface d'analyse Windows Antimalware (AMSI) et l'ajout de lui-même à la liste d'exclusion de l'antivirus Windows Defender. De nombreuses informations d'identification provenant d'agences gouvernementales, d'universités, de plateformes de commerce électronique, de banques et d'entreprises vietnamiennes ont été compromises par ce malware voleur.