Похититель VietCredCare нацелен на жертв во Вьетнаме

По крайней мере, с августа 2022 года рекламодатели Facebook во Вьетнаме подвергаются атаке неизвестного вредоносного ПО для кражи информации, известного как VietCredCare. Это вредоносное ПО примечательно своей автоматической фильтрацией файлов cookie сеанса Facebook и украденных учетных данных со взломанных устройств. Согласно отчету сингапурской Group-IB, он оценивает, управляют ли целевые учетные записи бизнес-профилями и поддерживают ли они положительный кредитный баланс мета-рекламы.

Основная цель этого широко распространенного распространения вредоносного ПО — захват корпоративных учетных записей Facebook с упором на вьетнамских лиц, ответственных за управление профилями известных предприятий и организаций. После успешной конфискации эти скомпрометированные учетные записи используются злоумышленниками для публикации политического контента или распространения фишинга и партнерского мошенничества с целью получения финансовой выгоды.

VietCredCare продается как вредоносное ПО

VietCredCare работает по модели «вор как услуга» и рекламируется на таких платформах, как Facebook, YouTube и Telegram. Считается, что им управляют люди, говорящие по-вьетнамски. Потенциальные клиенты могут либо приобрести доступ к ботнету, управляемому разработчиками вредоносного ПО, либо приобрести исходный код для перепродажи или личного использования. Кроме того, клиентам предоставляется настроенный бот Telegram для кражи и доставки учетных данных с зараженных устройств.

Вредоносное ПО на базе .NET, распространяющееся через ссылки на поддельных сайтах, в сообщениях в социальных сетях и на платформах обмена мгновенными сообщениями, маскируется под законное программное обеспечение, такое как Microsoft Office или Acrobat Reader, чтобы обманом заставить пользователей установить его. Ключевой особенностью VietCredCare является его способность извлекать учетные данные, файлы cookie и идентификаторы сеансов из таких веб-браузеров, как Google Chrome, Microsoft Edge и Cốc Cốc, что подчеркивает его ориентацию на вьетнамские цели.

Вредоносная программа также может получить IP-адрес жертвы, определить, является ли учетная запись Facebook бизнес-профилем, и оценить, управляет ли эта учетная запись в настоящее время какой-либо рекламой. Чтобы избежать обнаружения, он принимает такие меры, как отключение интерфейса сканирования антивирусных программ Windows (AMSI) и добавление себя в список исключений антивирусной программы «Защитник Windows». С помощью этого вредоносного ПО-вора были скомпрометированы многочисленные учетные данные правительственных учреждений, университетов, платформ электронной коммерции, банков и вьетнамских компаний.