Facebook-adverteerders in Vietnam zijn het doelwit van een voorheen onbekende informatiedief genaamd VietCredCare in ieder geval sinds augustus 2022.
De malware is “opmerkelijk vanwege zijn vermogen om Facebook-sessiecookies en inloggegevens die zijn gestolen van gecompromitteerde apparaten automatisch uit te filteren, en te beoordelen of deze accounts bedrijfsprofielen beheren en of ze een positief saldo voor meta-advertenties behouden”, zei Group-IB met hoofdkantoor in Singapore. een nieuw rapport gedeeld met The Hacker News.
Het einddoel van het grootschalige distributieprogramma voor malware is het vergemakkelijken van de overname van zakelijke Facebook-accounts door zich te richten op Vietnamese individuen die de Facebook-profielen van vooraanstaande bedrijven en organisaties beheren.
Facebook-accounts die met succes in beslag zijn genomen, worden vervolgens door de dreigingsactoren achter de operatie gebruikt om politieke inhoud te posten of om phishing en affiliate-zwendel te propageren voor financieel gewin.
VietCredCare wordt aangeboden aan andere aspirant-cybercriminelen onder het stealer-as-a-service-model en geadverteerd op Facebook, YouTube en Telegram. Er wordt aangenomen dat het wordt beheerd door Vietnamees sprekende personen.
Klanten hebben de mogelijkheid om toegang te kopen tot een botnet dat wordt beheerd door de ontwikkelaars van de malware, of om toegang te krijgen tot de broncode voor wederverkoop of persoonlijk gebruik. Ze krijgen ook een op maat gemaakte Telegram-bot om de exfiltratie en levering van inloggegevens van een geïnfecteerd apparaat te beheren.
De op .NET gebaseerde malware wordt verspreid via links naar nepsites op socialemediaposts en instant messaging-platforms, en doet zich voor als legitieme software zoals Microsoft Office of Acrobat Reader om bezoekers te misleiden om deze te installeren.
Een van de belangrijkste verkoopargumenten is de mogelijkheid om inloggegevens, cookies en sessie-ID’s te extraheren uit webbrowsers zoals Google Chrome, Microsoft Edge en Cốc Cốc, wat de Vietnamese focus aangeeft.
Het kan ook het IP-adres van een slachtoffer achterhalen, controleren of een Facebook-profiel een bedrijfsprofiel is en beoordelen of het account in kwestie momenteel advertenties beheert, terwijl het tegelijkertijd stappen onderneemt om detectie te omzeilen door de Windows Antimalware Scan Interface (AMSI) uit te schakelen en toe te voegen zichzelf op de uitsluitingslijst van Windows Defender Antivirus.
“De kernfunctionaliteit van VietCredCare om Facebook-inloggegevens uit te filteren, brengt organisaties in zowel de publieke als de private sector het risico op reputatie- en financiële schade als hun gevoelige accounts in gevaar komen”, zegt Vesta Matveeva, hoofd van de High-Tech Crime Investigation Department voor APAC.
Inloggegevens van verschillende overheidsinstanties, universiteiten, e-commerceplatforms, banken en Vietnamese bedrijven zijn via de stealer-malware overgeheveld.
VietCredCare is ook de nieuwste toevoeging aan een lange lijst stealer-malware, zoals Ducktail en NodeStealer, die afkomstig is uit het Vietnamese cybercriminele ecosysteem met de bedoeling zich te richten op Facebook-accounts.
“Het stealer-as-a-service-bedrijfsmodel stelt bedreigingsactoren met weinig tot geen technische vaardigheden in staat het veld van cybercriminaliteit te betreden, wat ertoe leidt dat meer onschuldige slachtoffers worden geschaad”, aldus Group-IB.
