VietCredCare Stealer riktar sig till offer i Vietnam
Sedan åtminstone augusti 2022 har annonsörer på Facebook i Vietnam varit måltavla av en okänd skadlig programvara som stjäl information som kallas VietCredCare. Denna skadliga programvara är anmärkningsvärd för sin automatiska filtrering av Facebook-sessionscookies och stulna referenser från komprometterade enheter. Den utvärderar om de riktade kontona hanterar affärsprofiler och upprätthåller ett positivt Meta-annonskreditsaldo, enligt en rapport från Singapore-baserade Group-IB.
Det primära syftet med denna utbredda distribution av skadlig programvara är att ta över företagens Facebook-konton, med fokus på vietnamesiska individer som ansvarar för att hantera profiler för framstående företag och organisationer. När de väl har tagits i beslag, används dessa inträngda konton av hotaktörer för att lägga upp politiskt innehåll eller sprida nätfiske och bedrägerier med affiliate för ekonomisk vinning.
VietCredCare säljs som skadlig programvara
VietCredCare verkar under en stealer-as-a-service-modell och annonseras på plattformar som Facebook, YouTube och Telegram. Det tros hanteras av personer som talar vietnamesiska. Potentiella kunder kan antingen köpa tillgång till ett botnät som hanteras av skadlig programvaras utvecklare eller skaffa källkoden för återförsäljning eller personligt bruk. Dessutom förses kunderna med en anpassad Telegram-bot för att hantera exfiltrering och leverans av referenser från infekterade enheter.
Den .NET-baserade skadliga programvaran distribueras genom länkar på falska webbplatser i inlägg på sociala medier och plattformar för snabbmeddelanden, och förklär sig som legitim programvara som Microsoft Office eller Acrobat Reader för att lura användare att installera den. En nyckelfunktion hos VietCredCare är dess förmåga att extrahera referenser, cookies och sessions-ID:n från webbläsare som Google Chrome, Microsoft Edge och Cốc Cốc, vilket betonar dess fokus på vietnamesiska mål.
Skadlig programvara kan också hämta ett offers IP-adress, avgöra om ett Facebook-konto är en företagsprofil och bedöma om kontot för närvarande hanterar några annonser. För att undvika upptäckt vidtar den åtgärder som att inaktivera Windows Antimalware Scan Interface (AMSI) och lägga till sig själv i undantagslistan för Windows Defender Antivirus. Flera referenser från statliga myndigheter, universitet, e-handelsplattformar, banker och vietnamesiska företag har äventyrats genom denna skadliga programvara.
