VietCredCare-stealer richt zich op slachtoffers in Vietnam

Sinds ten minste augustus 2022 zijn adverteerders op Facebook in Vietnam het doelwit van een onbekende informatiestelende malware, bekend als VietCredCare. Deze kwaadaardige software is opmerkelijk vanwege het automatische filteren van Facebook-sessiecookies en gestolen inloggegevens van gecompromitteerde apparaten. Het evalueert of de beoogde accounts bedrijfsprofielen beheren en een positief saldo voor meta-advertenties behouden, volgens een rapport van de in Singapore gevestigde Group-IB.

Het primaire doel van deze wijdverbreide verspreiding van malware is het overnemen van zakelijke Facebook-accounts, waarbij de nadruk ligt op Vietnamese individuen die verantwoordelijk zijn voor het beheren van profielen van vooraanstaande bedrijven en organisaties. Eenmaal met succes in beslag genomen, worden deze gecompromitteerde accounts door bedreigingsactoren gebruikt om politieke inhoud te posten of phishing en affiliate-zwendel te propageren voor financieel gewin.

VietCredCare verkocht als malwareservice

VietCredCare opereert volgens een stealer-as-a-service-model en wordt geadverteerd op platforms zoals Facebook, YouTube en Telegram. Er wordt aangenomen dat het wordt beheerd door personen die Vietnamees spreken. Potentiële klanten kunnen toegang kopen tot een botnet dat wordt beheerd door de ontwikkelaars van de malware, of de broncode verkrijgen voor wederverkoop of persoonlijk gebruik. Bovendien krijgen klanten een aangepaste Telegram-bot om de exfiltratie en levering van inloggegevens van geïnfecteerde apparaten af te handelen.

De op .NET gebaseerde malware wordt verspreid via links op nepsites in posts op sociale media en instant messaging-platforms en vermomt zichzelf als legitieme software zoals Microsoft Office of Acrobat Reader om gebruikers te misleiden om deze te installeren. Een belangrijk kenmerk van VietCredCare is de mogelijkheid om inloggegevens, cookies en sessie-ID's te extraheren uit webbrowsers zoals Google Chrome, Microsoft Edge en Cốc Cốc, waarmee de focus op Vietnamese doelen wordt benadrukt.

De malware kan ook het IP-adres van een slachtoffer achterhalen, bepalen of een Facebook-account een bedrijfsprofiel is en beoordelen of het account momenteel advertenties beheert. Om detectie te voorkomen, neemt het maatregelen zoals het uitschakelen van de Windows Antimalware Scan Interface (AMSI) en het toevoegen van zichzelf aan de uitsluitingslijst van Windows Defender Antivirus. Door deze stealer-malware zijn talloze inloggegevens van overheidsinstanties, universiteiten, e-commerceplatforms, banken en Vietnamese bedrijven gecompromitteerd.