A VietCredCare Stealer a vietnami áldozatokat célozza meg

Legalább 2022 augusztusa óta a VietCredCare néven ismert, ismeretlen információlopó rosszindulatú program a Facebookon hirdetőket céloz meg Vietnamban. Ez a rosszindulatú szoftver figyelemre méltó a Facebook munkamenet-cookie-k és a feltört eszközökről ellopott hitelesítő adatok automatikus szűréséről. A szingapúri székhelyű Group-IB jelentése szerint értékeli, hogy a megcélzott fiókok kezelik-e az üzleti profilokat, és fenntartják-e a pozitív Meta hirdetési jóváírás egyenlegét.

A rosszindulatú programok széles körben elterjedt terjesztésének elsődleges célja a vállalati Facebook-fiókok átvétele, elsősorban a neves vállalkozások és szervezetek profiljainak kezeléséért felelős vietnami személyekre összpontosítva. Sikeres lefoglalásuk után ezeket a feltört fiókokat a fenyegetés szereplői politikai tartalom közzétételére, illetve adathalászat és társult vállalkozások csalásainak terjesztésére használják pénzügyi haszonszerzés céljából.

A VietCredCare kártevő-szolgáltatásként értékesítve

A VietCredCare lopás, mint szolgáltatás modell szerint működik, és olyan platformokon hirdetik, mint a Facebook, a YouTube és a Telegram. Úgy gondolják, hogy vietnamiul beszélő személyek kezelik. A potenciális ügyfelek vásárolhatnak hozzáférést a rosszindulatú program fejlesztői által kezelt botnethez, vagy megszerezhetik a forráskódot viszonteladásra vagy személyes használatra. Ezenkívül az ügyfelek testreszabott Telegram botot kapnak a fertőzött eszközökről származó hitelesítő adatok kiszűrésének és kézbesítésének kezelésére.

A közösségimédia-bejegyzésekben és az azonnali üzenetküldő platformokon található hamis webhelyeken található hivatkozásokon keresztül terjesztett .NET-alapú rosszindulatú program legitim szoftvernek álcázza magát, mint például a Microsoft Office vagy az Acrobat Reader, hogy megtévessze a felhasználókat, hogy telepítsék. A VietCredCare kulcsfontosságú jellemzője, hogy képes hitelesítő adatokat, cookie-kat és munkamenet-azonosítókat kinyerni olyan webböngészőkből, mint a Google Chrome, a Microsoft Edge és a Cốc Cốc, ezzel is hangsúlyozva, hogy a vietnami célpontokra összpontosít.

A kártevő lekérheti az áldozat IP-címét is, megállapíthatja, hogy egy Facebook-fiók üzleti profil-e, és felmérheti, hogy a fiók jelenleg kezel-e hirdetéseket. Az észlelés elkerülése érdekében intézkedéseket hoz, például letiltja a Windows Antimalware Scan Interface (AMSI) felületet, és felveszi magát a Windows Defender Antivirus kizárási listájára. Számos kormányzati ügynökség, egyetem, e-kereskedelmi platform, bank és vietnami vállalat hitelesítő adatait veszélyeztette ez a lopó rosszindulatú program.