Il ladro VietCredCare prende di mira le vittime in Vietnam
Almeno dall’agosto 2022, gli inserzionisti su Facebook in Vietnam sono stati presi di mira da un malware sconosciuto per il furto di informazioni noto come VietCredCare. Questo software dannoso è degno di nota per il filtraggio automatico dei cookie di sessione di Facebook e delle credenziali rubate da dispositivi compromessi. Valuta se gli account presi di mira gestiscono profili aziendali e mantengono un saldo positivo del credito pubblicitario Meta, secondo un rapporto del Group-IB con sede a Singapore.
L'obiettivo principale di questa diffusa distribuzione di malware è quello di impossessarsi degli account Facebook aziendali, concentrandosi sugli individui vietnamiti responsabili della gestione dei profili di importanti aziende e organizzazioni. Una volta sequestrati con successo, questi account compromessi vengono utilizzati dagli autori delle minacce per pubblicare contenuti politici o propagare phishing e truffe di affiliazione a scopo di lucro.
VietCredCare venduto come servizio malware
VietCredCare opera secondo un modello stealer-as-a-service ed è pubblicizzato su piattaforme come Facebook, YouTube e Telegram. Si ritiene che sia gestito da persone che parlano vietnamita. I potenziali clienti possono acquistare l'accesso a una botnet gestita dagli sviluppatori del malware o acquisire il codice sorgente per la rivendita o per uso personale. Inoltre, ai clienti viene fornito un bot Telegram personalizzato per gestire l'esfiltrazione e la consegna di credenziali dai dispositivi infetti.
Distribuito tramite collegamenti a siti falsi nei post dei social media e nelle piattaforme di messaggistica istantanea, il malware basato su .NET si maschera da software legittimo come Microsoft Office o Acrobat Reader per indurre gli utenti a installarlo. Una caratteristica fondamentale di VietCredCare è la sua capacità di estrarre credenziali, cookie e ID di sessione da browser Web come Google Chrome, Microsoft Edge e Cốc Cốc, sottolineando la sua attenzione agli obiettivi vietnamiti.
Il malware può anche recuperare l'indirizzo IP di una vittima, determinare se un account Facebook è un profilo aziendale e valutare se l'account sta attualmente gestendo eventuali annunci pubblicitari. Per evitare il rilevamento, adotta misure come la disabilitazione di Windows Antimalware Scan Interface (AMSI) e l'aggiunta all'elenco di esclusione di Windows Defender Antivirus. Numerose credenziali di agenzie governative, università, piattaforme di e-commerce, banche e aziende vietnamite sono state compromesse da questo malware ladro.
