VietCredCare 竊盜者瞄準越南受害者

至少自 2022 年 8 月起，越南 Facebook 上的廣告商就成為了一種名為 VietCredCare 的未知資訊竊取惡意軟體的目標。該惡意軟體因其自動過濾 Facebook 會話 cookie 和從受感染裝置竊取的憑證而值得注意。根據新加坡 Group-IB 的一份報告，它評估目標帳戶是否管理業務資料並保持正的元廣告信用餘額。

這種廣泛傳播的惡意軟體的主要目標是接管企業 Facebook 帳戶，重點是負責管理知名企業和組織資料的越南個人。一旦成功扣押，這些受損帳戶就會被威脅行為者用來發布政治內容或傳播網路釣魚和附屬詐騙以獲取經濟利益。

VietCredCare 以惡意軟體服務出售

VietCredCare 採用竊取者即服務模式運營，並在 Facebook、YouTube 和 Telegram 等平台上刊登廣告。據信它是由講越南語的人管理的。潛在客戶可以購買由惡意軟體開發人員管理的殭屍網路的存取權限，也可以獲得原始程式碼以進行轉售或個人使用。此外，還為客戶提供了客製化的 Telegram 機器人，用於處理受感染設備的憑證洩漏和傳遞。

這種基於 .NET 的惡意軟體透過社群媒體貼文和即時通訊平台中的虛假網站連結進行傳播，將自己偽裝成 Microsoft Office 或 Acrobat Reader 等合法軟體，欺騙用戶安裝。 VietCredCare 的一個關鍵功能是能夠從 Google Chrome、Microsoft Edge 和 Cốc Cốc 等網頁瀏覽器中提取憑證、cookie 和會話 ID，這強調了其對越南目標的關注。

該惡意軟體還可以檢索受害者的 IP 位址，確定 Facebook 帳戶是否為企業資料，並評估該帳戶目前是否正在管理任何廣告。為了避免偵測，它會採取停用 Windows 反惡意軟體掃描介面 (AMSI) 並將自身新增至 Windows Defender 防毒的排除清單等措施。來自政府機構、大學、電子商務平台、銀行和越南公司的許多憑證已因這種竊取惡意軟體而受到損害。