VietCredCare 盗窃者瞄准越南受害者

至少自 2022 年 8 月起，越南 Facebook 上的广告商就成为了一种名为 VietCredCare 的未知信息窃取恶意软件的目标。该恶意软件因其自动过滤 Facebook 会话 cookie 和从受感染设备窃取的凭据而值得注意。根据新加坡 Group-IB 的一份报告，它评估目标帐户是否管理业务资料并保持正的元广告信用余额。

这种广泛传播的恶意软件的主要目标是接管企业 Facebook 帐户，重点针对负责管理知名企业和组织资料的越南个人。一旦成功扣押，这些受损帐户就会被威胁行为者用来发布政治内容或传播网络钓鱼和附属诈骗以获取经济利益。

VietCredCare 作为恶意软件服务出售

VietCredCare 采用窃取者即服务模式运营，并在 Facebook、YouTube 和 Telegram 等平台上做广告。据信它是由讲越南语的人管理的。潜在客户可以购买由恶意软件开发人员管理的僵尸网络的访问权限，也可以获取源代码以进行转售或个人使用。此外，还为客户提供了定制的 Telegram 机器人，用于处理受感染设备的凭据泄露和传递。

这种基于 .NET 的恶意软件通过社交媒体帖子和即时消息平台中的虚假网站链接进行传播，将自己伪装成 Microsoft Office 或 Acrobat Reader 等合法软件，欺骗用户安装。 VietCredCare 的一个关键功能是能够从 Google Chrome、Microsoft Edge 和 Cốc Cốc 等网络浏览器中提取凭证、cookie 和会话 ID，这强调了其对越南目标的关注。

该恶意软件还可以检索受害者的 IP 地址，确定 Facebook 帐户是否为企业资料，并评估该帐户当前是否正在管理任何广告。为了避免检测，它会采取禁用 Windows 反恶意软件扫描接口 (AMSI) 并将自身添加到 Windows Defender 防病毒的排除列表等措施。来自政府机构、大学、电子商务平台、银行和越南公司的许多凭证已因这种窃取恶意软件而受到损害。