VietCredCare 窃盗犯、ベトナムで被害者を狙う

少なくとも 2022 年 8 月以降、ベトナムの Facebook の広告主は、VietCredCare として知られる未知の情報窃取マルウェアの標的になっています。この悪意のあるソフトウェアは、Facebook セッション Cookie を自動的にフィルタリングし、侵害されたデバイスから認証情報を盗むことで注目に値します。シンガポールに本拠を置くGroup-IBのレポートによると、対象となるアカウントがビジネスプロファイルを管理し、プラスのメタ広告クレジット残高を維持しているかどうかを評価する。

この広範囲にわたるマルウェア配布の主な目的は、著名な企業や組織のプロフィール管理を担当するベトナム人個人に焦点を当て、企業の Facebook アカウントを乗っ取ることです。これらの侵害されたアカウントは、乗っ取られると、政治的なコンテンツを投稿したり、金銭的利益を得るためにフィッシング詐欺やアフィリエイト詐欺を広めたりするために、攻撃者によって利用されます。

VietCredCare はマルウェア サービスとして販売

VietCredCare はサービスとしてのスティーラー モデルに基づいて運営されており、Facebook、YouTube、Telegram などのプラットフォームで宣伝されています。ベトナム語を話す個人によって管理されていると考えられています。潜在的な顧客は、マルウェアの開発者が管理するボットネットへのアクセスを購入するか、再販または個人使用のためにソース コードを取得することができます。さらに、感染したデバイスからの資格情報の抽出と配信を処理するために、カスタマイズされた Telegram ボットが顧客に提供されます。

ソーシャル メディアの投稿やインスタント メッセージング プラットフォームの偽サイトのリンクを通じて配布されるこの .NET ベースのマルウェアは、Microsoft Office や Acrobat Reader などの正規のソフトウェアを装ってユーザーをだましてインストールさせます。 VietCredCare の主な機能は、Google Chrome、Microsoft Edge、Cốc Cốc などの Web ブラウザーから資格情報、Cookie、セッション ID を抽出する機能であり、ベトナムのターゲットに重点を置いていることが強調されています。

このマルウェアは、被害者の IP アドレスを取得し、Facebook アカウントがビジネス プロフィールであるかどうかを判断し、アカウントが現在広告を管理しているかどうかを評価することもできます。検出を回避するために、Windows Antimalware Scan Interface (AMSI) を無効にしたり、Windows Defender Antivirus の除外リストに自身を追加したりするなどの措置を講じます。政府機関、大学、電子商取引プラットフォーム、銀行、ベトナム企業からの多数の認証情報が、このスティーラー マルウェアによって侵害されています。