Facebook-Werbetreibende in Vietnam sind seit mindestens August 2022 das Ziel eines zuvor unbekannten Information-Stealers namens VietCredCare.
Die Malware ist „bemerkenswert für ihre Fähigkeit, automatisch Facebook-Sitzungs-Cookies und Anmeldeinformationen zu filtern, die von kompromittierten Geräten gestohlen wurden, und zu beurteilen, ob diese Konten Geschäftsprofile verwalten und ob sie ein positives Meta-Werbeguthaben haben“, sagte die in Singapur ansässige Group-IB in einem neuen Bericht, der The Hacker News geteilt wurde.
Das Endziel des groß angelegten Malware-Verteilungsschemas ist es, die Übernahme von Firmen-Facebook-Konten zu erleichtern, indem vietnamesische Personen ins Visier genommen werden, die die Facebook-Profile prominenter Unternehmen und Organisationen verwalten.
Die erfolgreich erbeuteten Facebook-Konten werden dann von den Bedrohungsakteuren hinter der Operation genutzt, um politische Inhalte zu posten oder um Phishing- und Affiliate-Betrügereien zum finanziellen Gewinn zu verbreiten.
VietCredCare wird anderen aufstrebenden Cyberkriminellen unter dem Stealer-as-a-Service-Modell angeboten und auf Facebook, YouTube und Telegram beworben. Es wird angenommen, dass es von vietnamesischsprachigen Personen verwaltet wird.
Die Kunden haben entweder die Möglichkeit, Zugang zu einem von den Entwicklern der Malware verwalteten Botnet zu kaufen oder Zugang zum Quellcode für den Weiterverkauf oder den persönlichen Gebrauch zu beschaffen. Sie erhalten auch einen maßgeschneiderten Telegram-Bot zur Verwaltung der Exfiltration und Bereitstellung von Anmeldeinformationen von einem infizierten Gerät.
Die auf .NET basierende Malware wird über Links zu betrügerischen Websites in Social-Media-Beiträgen und Instant-Messaging-Plattformen verbreitet und tarnt sich als legitimate Software wie Microsoft Office oder Acrobat Reader, um Besucher dazu zu verleiten, sie zu installieren.
Einer ihrer Hauptverkaufsargumente ist die Fähigkeit, Anmeldeinformationen, Cookies und Sitzungs-IDs von Webbrowsern wie Google Chrome, Microsoft Edge und Cốc Cốc zu extrahieren, was auf ihren vietnamesische Fokus hinweist.
Sie kann auch die IP-Adresse eines Opfers abrufen, überprüfen, ob ein Facebook ein Geschäftsprofil ist, und beurteilen, ob das betreffende Konto derzeit Anzeigen verwaltet, während gleichzeitig Maßnahmen ergriffen werden, um der Entdeckung zu entgehen, indem die Windows Antimalware Scan Interface (AMSI) deaktiviert und sich selbst der Ausschlussliste des Windows Defender Antivirus hinzugefügt wird.
„Die Kernfunktionalität von VietCredCare, Facebook-Anmeldeinformationen zu filtern, setzt Organisationen sowohl im öffentlichen als auch im privaten Sektor einem Risiko für Rufschäden und finanzielle Verluste aus, wenn ihre sensiblen Konten kompromittiert werden“, sagte Vesta Matveeva, Leiter der Abteilung für Ermittlungen im High-Tech-Verbrechen für APAC.
Über den Stealer-Malware wurden Anmeldeinformationen mehrerer Regierungsbehörden, Universitäten, E-Commerce-Plattformen, Banken und vietnamesischer Unternehmen abgesaugt.
VietCredCare ist auch die neueste Ergänzung zu einer langen Liste von Stealer-Malware wie Ducktail und NodeStealer, die aus dem vietnamesischen Cyber-Kriminельlen-Ökosystem stammen mit der Absicht, Facebook-Konten anzugreifen.