„VietCredCare“ vagystė nukreipta į aukas Vietname

Bent jau nuo 2022 m. rugpjūčio mėn. „Facebook“ reklamuotojai Vietname buvo nukreipti į nežinomą informaciją vagianti kenkėjiška programa, žinoma kaip VietCredCare. Ši kenkėjiška programinė įranga verta dėmesio dėl automatinio „Facebook“ seanso slapukų ir pavogtų kredencialų filtravimo iš pažeistų įrenginių. Remiantis Singapūre įsikūrusios grupės IB ataskaita, ji įvertina, ar tikslinės paskyros valdo verslo profilius ir palaiko teigiamą meta skelbimų kredito balansą.

Pagrindinis šio plačiai paplitusio kenkėjiškų programų platinimo tikslas yra perimti įmonių „Facebook“ paskyras, daugiausia dėmesio skiriant vietnamiečių asmenims, atsakingiems už žinomų įmonių ir organizacijų profilių tvarkymą. Sėkmingai konfiskavus šias pažeistas paskyras grėsmės veikėjai naudoja skelbdami politinį turinį arba propaguodami sukčiavimą ir filialų sukčiavimą siekdami finansinės naudos.

VietCredCare parduodama kaip kenkėjiškų programų paslauga

VietCredCare veikia pagal „stealer-as-a-service“ modelį ir yra reklamuojama tokiose platformose kaip „Facebook“, „YouTube“ ir „Telegram“. Manoma, kad ją valdo asmenys, kalbantys vietnamiečių kalba. Potencialūs klientai gali įsigyti prieigą prie botneto, kurį valdo kenkėjiškų programų kūrėjai, arba įsigyti šaltinio kodą perpardavimui arba asmeniniam naudojimui. Be to, klientams suteikiamas pritaikytas „Telegram“ robotas, skirtas išfiltruoti ir perduoti kredencialus iš užkrėstų įrenginių.

Socialinės žiniasklaidos įrašuose ir momentinių pranešimų platformose platinama per nuorodas į netikras svetaines, .NET pagrindu veikianti kenkėjiška programa užmaskuojama kaip teisėta programinė įranga, pvz., „Microsoft Office“ ar „Acrobat Reader“, kad suklaidintų vartotojus, kad jie ją įdiegtų. Pagrindinė „VietCredCare“ ypatybė yra galimybė išgauti kredencialus, slapukus ir seanso ID iš interneto naršyklių, tokių kaip „Google Chrome“, „Microsoft Edge“ ir „Cốc Cốc“, pabrėžiant, kad jos dėmesys sutelkiamas į Vietnamo taikinius.

Kenkėjiška programa taip pat gali nuskaityti aukos IP adresą, nustatyti, ar „Facebook“ paskyra yra verslo profilis, ir įvertinti, ar paskyroje šiuo metu tvarkomi kokie nors skelbimai. Kad būtų išvengta aptikimo, ji imasi priemonių, pavyzdžiui, išjungia „Windows“ antimalware nuskaitymo sąsają (AMSI) ir įtraukia save į „Windows Defender Antivirus“ išimčių sąrašą. Daugybė vyriausybinių agentūrų, universitetų, elektroninės prekybos platformų, bankų ir Vietnamo įmonių įgaliojimų buvo pažeisti dėl šios vagiamos kenkėjiškos programos.