VietCredCare Stealer retter seg mot ofre i Vietnam
Siden minst august 2022 har annonsører på Facebook i Vietnam blitt målrettet av en ukjent skadelig programvare som stjeler informasjon kjent som VietCredCare. Denne ondsinnede programvaren er bemerkelsesverdig for sin automatiske filtrering av Facebook-sesjonskapsler og stjålne legitimasjon fra kompromitterte enheter. Den evaluerer om de målrettede kontoene administrerer forretningsprofiler og opprettholder en positiv Meta-annonsekredittsaldo, ifølge en rapport fra Singapore-baserte Group-IB.
Hovedmålet med denne utbredte distribusjonen av skadelig programvare er å overta bedriftens Facebook-kontoer, med fokus på vietnamesiske individer som er ansvarlige for å administrere profiler til fremtredende bedrifter og organisasjoner. Når de er blitt beslaglagt, blir disse kompromitterte kontoene brukt av trusselaktører til å legge ut politisk innhold eller formidle phishing og tilknyttede svindel for økonomisk vinning.
VietCredCare selges som en skadelig programvaretjeneste
VietCredCare opererer under en stealer-as-a-service-modell og annonseres på plattformer som Facebook, YouTube og Telegram. Det antas å være administrert av personer som snakker vietnamesisk. Potensielle kunder kan enten kjøpe tilgang til et botnett som administreres av skadevareutviklerne eller skaffe kildekoden for videresalg eller personlig bruk. I tillegg får kundene en tilpasset Telegram-bot for å håndtere eksfiltrering og levering av legitimasjon fra infiserte enheter.
Distribuert gjennom lenker på falske nettsteder i sosiale medieinnlegg og direktemeldingsplattformer, forkleder den .NET-baserte skadelige programvaren seg som legitim programvare som Microsoft Office eller Acrobat Reader for å lure brukere til å installere den. En nøkkelfunksjon ved VietCredCare er evnen til å trekke ut legitimasjon, informasjonskapsler og økt-ID-er fra nettlesere som Google Chrome, Microsoft Edge og Cốc Cốc, og understreker fokuset på vietnamesiske mål.
Skadevaren kan også hente et offers IP-adresse, finne ut om en Facebook-konto er en bedriftsprofil, og vurdere om kontoen administrerer noen annonser for øyeblikket. For å unngå gjenkjenning, tar den tiltak som å deaktivere Windows Antimalware Scan Interface (AMSI) og legge seg til ekskluderingslisten til Windows Defender Antivirus. Tallrike påloggingsopplysninger fra offentlige etater, universiteter, e-handelsplattformer, banker og vietnamesiske selskaper har blitt kompromittert gjennom denne skadelige programvaren.
