VietCredCare Stealer tem como alvo vítimas no Vietnã

Desde pelo menos agosto de 2022, os anunciantes do Facebook no Vietnã têm sido alvo de um malware desconhecido de roubo de informações conhecido como VietCredCare. Este software malicioso é notável pela filtragem automática de cookies de sessão do Facebook e credenciais roubadas de dispositivos comprometidos. Ele avalia se as contas-alvo gerenciam perfis de negócios e mantêm um saldo positivo de crédito de publicidade Meta, de acordo com um relatório do Group-IB, com sede em Cingapura.

O objetivo principal desta distribuição generalizada de malware é assumir o controle de contas corporativas do Facebook, concentrando-se em indivíduos vietnamitas responsáveis pelo gerenciamento de perfis de empresas e organizações proeminentes. Uma vez apreendidas com sucesso, essas contas comprometidas são utilizadas por agentes de ameaças para publicar conteúdo político ou propagar golpes de phishing e afiliados para obter ganhos financeiros.

VietCredCare vendido como um serviço de malware

VietCredCare opera sob um modelo de ladrão como serviço e é anunciado em plataformas como Facebook, YouTube e Telegram. Acredita-se que seja administrado por pessoas que falam vietnamita. Os clientes potenciais podem adquirir acesso a uma botnet gerenciada pelos desenvolvedores do malware ou adquirir o código-fonte para revenda ou uso pessoal. Além disso, os clientes recebem um bot Telegram personalizado para lidar com a exfiltração e entrega de credenciais de dispositivos infectados.

Distribuído por meio de links em sites falsos em postagens em mídias sociais e plataformas de mensagens instantâneas, o malware baseado em .NET se disfarça como software legítimo, como o Microsoft Office ou o Acrobat Reader, para enganar os usuários e fazê-los instalá-lo. Um recurso importante do VietCredCare é sua capacidade de extrair credenciais, cookies e IDs de sessão de navegadores como Google Chrome, Microsoft Edge e Cốc Cốc, enfatizando seu foco em alvos vietnamitas.

O malware também pode recuperar o endereço IP da vítima, determinar se uma conta do Facebook é um perfil comercial e avaliar se a conta está gerenciando algum anúncio no momento. Para evitar a detecção, ele toma medidas como desabilitar a Interface de verificação antimalware do Windows (AMSI) e adicionar-se à lista de exclusão do Windows Defender Antivirus. Numerosas credenciais de agências governamentais, universidades, plataformas de comércio eletrónico, bancos e empresas vietnamitas foram comprometidas através deste malware ladrão.