Złodziej VietCredCare atakuje ofiary w Wietnamie

Co najmniej od sierpnia 2022 r. reklamodawcy na Facebooku w Wietnamie są celem nieznanego złośliwego oprogramowania znanego jako VietCredCare kradnącego informacje. To złośliwe oprogramowanie jest godne uwagi ze względu na automatyczne filtrowanie plików cookie sesji Facebooka i skradzionych danych uwierzytelniających z zaatakowanych urządzeń. Jak wynika z raportu Group-IB z siedzibą w Singapurze, ocenia on, czy docelowe konta zarządzają profilami biznesowymi i utrzymują dodatnie saldo kredytów na reklamy Meta.

Głównym celem tej powszechnej dystrybucji szkodliwego oprogramowania jest przejmowanie firmowych kont na Facebooku, skupiając się na wietnamskich osobach odpowiedzialnych za zarządzanie profilami znanych firm i organizacji. Po pomyślnym przejęciu te zainfekowane konta są wykorzystywane przez podmioty zagrażające do publikowania treści politycznych lub propagowania phishingu i oszustw partnerskich w celu uzyskania korzyści finansowych.

VietCredCare sprzedawany jako usługa złośliwego oprogramowania

VietCredCare działa w modelu kradzieży jako usługi i jest reklamowany na platformach takich jak Facebook, YouTube i Telegram. Uważa się, że zarządzają nim osoby mówiące po wietnamsku. Potencjalni klienci mogą albo wykupić dostęp do botnetu zarządzanego przez twórców szkodliwego oprogramowania, albo zdobyć kod źródłowy w celu odsprzedaży lub użytku osobistego. Dodatkowo klienci otrzymują dostosowanego bota Telegramu do obsługi eksfiltracji i dostarczania danych uwierzytelniających z zainfekowanych urządzeń.

Szkodliwe oprogramowanie oparte na platformie .NET, rozpowszechniane za pośrednictwem łączy w fałszywych witrynach, postach w mediach społecznościowych i na platformach komunikatorów, podszywa się pod legalne oprogramowanie, takie jak Microsoft Office lub Acrobat Reader, aby oszukać użytkowników i nakłonić ich do jego zainstalowania. Kluczową cechą VietCredCare jest możliwość wyodrębniania danych uwierzytelniających, plików cookie i identyfikatorów sesji z przeglądarek internetowych takich jak Google Chrome, Microsoft Edge i Cốc Cốc, co podkreśla jego skupienie na celach wietnamskich.

Szkodnik może również pobrać adres IP ofiary, określić, czy konto na Facebooku jest profilem firmowym i ocenić, czy konto aktualnie zarządza jakimikolwiek reklamami. Aby uniknąć wykrycia, podejmuje takie działania, jak wyłączenie interfejsu skanowania antymalware systemu Windows (AMSI) i dodanie się do listy wykluczeń programu antywirusowego Windows Defender. Liczne dane uwierzytelniające agencji rządowych, uniwersytetów, platform handlu elektronicznego, banków i wietnamskich firm zostały naruszone za pomocą tego złośliwego oprogramowania.