Рекламодатели Facebook во Вьетнаме являются мишенью ранее неизвестного похитителя информации, получившего название VietCredCare, по крайней мере, с августа 2022 года.
Вредоносная программа "примечательна своей способностью автоматически отфильтровывать файлы cookie сеанса Facebook и учетные данные, украденные со скомпрометированных устройств, и оценивать, управляют ли эти учетные записи бизнес-профилями и поддерживают ли они положительный кредитный баланс на мета-рекламу", - говорится в новом отчете Group-IB со штаб-квартирой в Сингапуре, опубликованном The Hacker News.
Конечная цель крупномасштабной схемы распространения вредоносного ПО - способствовать захвату корпоративных Facebook-аккаунтов путем нацеливания на вьетнамцев, которые управляют Facebook-профилями известных компаний и организаций.
Аккаунты Facebook, которые были успешно захвачены, затем используются злоумышленниками, стоящими за операцией, для размещения политического контента или распространения фишинга и партнерских афер с целью получения финансовой выгоды.
Программа VietCredCare предлагается другим начинающим киберпреступникам по модели "кража как услуга" и рекламируется на Facebook, YouTube и Telegram. Предполагается, что им управляют люди, говорящие по-вьетнамски.
Клиенты могут либо приобрести доступ к ботнету, управляемому разработчиками вредоносного ПО, либо получить доступ к исходному коду для перепродажи или личного использования. Им также предоставляется специальный Telegram-бот для управления удалением и доставкой учетных данных с зараженного устройства.
Вредоносное ПО на базе .NET распространяется по ссылкам на поддельные сайты в публикациях в социальных сетях и на платформах обмена мгновенными сообщениями, выдавая себя за законное программное обеспечение, такое как Microsoft Office или Acrobat Reader, чтобы обманом заставить посетителей установить их.
Одним из основных преимуществ является возможность извлекать учетные данные, файлы cookie и идентификаторы сеансов из веб-браузеров, таких как Google Chrome, Microsoft Edge и CốC CốC, что указывает на его ориентацию на Вьетнам.
Он также может получить IP-адрес жертвы, проверить, является ли Facebook бизнес-профилем, и оценить, управляет ли соответствующая учетная запись в данный момент какой-либо рекламой, одновременно предпринимая шаги для уклонения от обнаружения, отключая интерфейс сканирования Windows против вредоносных программ (AMSI) и добавляя себя в список исключений антивируса Windows Defender.
"Основная функциональность VietCredCare по фильтрации учетных данных Facebook подвергает организации как в государственном, так и в частном секторах риску репутационного и финансового ущерба, если их конфиденциальные аккаунты будут скомпрометированы", - сказала Веста Матвеева, руководитель Отдела расследования преступлений в сфере высоких технологий APAC.
Учетные данные, принадлежащие нескольким правительственным учреждениям, университетам, платформам электронной коммерции, банкам и вьетнамским компаниям, были перекачаны с помощью вредоносного ПО stealer.
VietCredCare также является последним дополнением к длинному списку вредоносных программ-похитителей, таких как Ducktail и NodeStealer, которые были созданы вьетнамской киберпреступной экосистемой с целью Facebook аккаунтов.
Тем не менее, в Group-IB сообщили The Hacker News, что на данном этапе нет доказательств, указывающих на связь между VietCredCare и другими штаммами.
"У Ducktail функции другие, и, хотя есть некоторое сходство с NodeStealer, мы отмечаем, что последний использует сервер [командования и контроля] вместо Telegram, плюс у них другой выбор жертв", - заявили в компании.
"Бизнес-модель "похититель как услуга" позволяет субъектам угроз, практически не имеющим технических навыков, вступать в сферу киберпреступности, что приводит к тому, что пострадает больше невинных жертв".
Вредоносная программа "примечательна своей способностью автоматически отфильтровывать файлы cookie сеанса Facebook и учетные данные, украденные со скомпрометированных устройств, и оценивать, управляют ли эти учетные записи бизнес-профилями и поддерживают ли они положительный кредитный баланс на мета-рекламу", - говорится в новом отчете Group-IB со штаб-квартирой в Сингапуре, опубликованном The Hacker News.
Конечная цель крупномасштабной схемы распространения вредоносного ПО - способствовать захвату корпоративных Facebook-аккаунтов путем нацеливания на вьетнамцев, которые управляют Facebook-профилями известных компаний и организаций.
Аккаунты Facebook, которые были успешно захвачены, затем используются злоумышленниками, стоящими за операцией, для размещения политического контента или распространения фишинга и партнерских афер с целью получения финансовой выгоды.
Программа VietCredCare предлагается другим начинающим киберпреступникам по модели "кража как услуга" и рекламируется на Facebook, YouTube и Telegram. Предполагается, что им управляют люди, говорящие по-вьетнамски.
Клиенты могут либо приобрести доступ к ботнету, управляемому разработчиками вредоносного ПО, либо получить доступ к исходному коду для перепродажи или личного использования. Им также предоставляется специальный Telegram-бот для управления удалением и доставкой учетных данных с зараженного устройства.
Вредоносное ПО на базе .NET распространяется по ссылкам на поддельные сайты в публикациях в социальных сетях и на платформах обмена мгновенными сообщениями, выдавая себя за законное программное обеспечение, такое как Microsoft Office или Acrobat Reader, чтобы обманом заставить посетителей установить их.
Одним из основных преимуществ является возможность извлекать учетные данные, файлы cookie и идентификаторы сеансов из веб-браузеров, таких как Google Chrome, Microsoft Edge и CốC CốC, что указывает на его ориентацию на Вьетнам.
Он также может получить IP-адрес жертвы, проверить, является ли Facebook бизнес-профилем, и оценить, управляет ли соответствующая учетная запись в данный момент какой-либо рекламой, одновременно предпринимая шаги для уклонения от обнаружения, отключая интерфейс сканирования Windows против вредоносных программ (AMSI) и добавляя себя в список исключений антивируса Windows Defender.
"Основная функциональность VietCredCare по фильтрации учетных данных Facebook подвергает организации как в государственном, так и в частном секторах риску репутационного и финансового ущерба, если их конфиденциальные аккаунты будут скомпрометированы", - сказала Веста Матвеева, руководитель Отдела расследования преступлений в сфере высоких технологий APAC.
Учетные данные, принадлежащие нескольким правительственным учреждениям, университетам, платформам электронной коммерции, банкам и вьетнамским компаниям, были перекачаны с помощью вредоносного ПО stealer.
VietCredCare также является последним дополнением к длинному списку вредоносных программ-похитителей, таких как Ducktail и NodeStealer, которые были созданы вьетнамской киберпреступной экосистемой с целью Facebook аккаунтов.
Тем не менее, в Group-IB сообщили The Hacker News, что на данном этапе нет доказательств, указывающих на связь между VietCredCare и другими штаммами.
"У Ducktail функции другие, и, хотя есть некоторое сходство с NodeStealer, мы отмечаем, что последний использует сервер [командования и контроля] вместо Telegram, плюс у них другой выбор жертв", - заявили в компании.
"Бизнес-модель "похититель как услуга" позволяет субъектам угроз, практически не имеющим технических навыков, вступать в сферу киберпреступности, что приводит к тому, что пострадает больше невинных жертв".
