Ostatnio na celowniku cyberprzestępców znalazły się firmy reklamujące się na Facebooku w Wietnamie. Zagrożenie nosi nazwę VietCredCare i jest to złośliwe oprogramowanie typu information stealer, które aktywnie działa przynajmniej od sierpnia 2022 roku. Jego głównym celem jest przejmowanie korporacyjnych kont na Facebooku poprzez automatyczne wyłapywanie ciasteczek sesji i poświadczeń z zainfekowanych urządzeń.
Jak działa VietCredCare?
VietCredCare rozpowszechniane jest przez linki do fałszywych stron na postach w mediach społecznościowych i platformach do natychmiastowej wymiany wiadomości, udając legalne oprogramowanie takie jak Microsoft Office czy Acrobat Reader. Po zainstalowaniu jest w stanie wydobyć dane uwierzytelniające, ciasteczka i identyfikatory sesji z przeglądarek internetowych, w tym Google Chrome, Microsoft Edge oraz Cốc Cốc – przeglądarki skierowanej na rynek wietnamski.
Co wyróżnia VietCredCare, to zdolność do pobrania adresu IP ofiary, sprawdzenia, czy konto na Facebooku jest profilem biznesowym i oceny, czy konto aktualnie zarządza reklamami. Malware podejmuje także kroki, aby unikać wykrycia, wyłączając Windows Antimalware Scan Interface (AMSI) i dodając się do listy wyłączeń Windows Defender Antivirus.
Skala zagrożenia
Poświadczenia należące do różnych agencji rządowych, uniwersytetów, platform e-commerce, banków i wietnamskich firm zostały wykradzione przez to złośliwe oprogramowanie. Aktorzy zagrożenia następnie używają skradzionych kont na Facebooku do publikowania treści politycznych lub rozpowszechniania oszustw phishingowych i kampanii afiliacyjnych w celu osiągnięcia korzyści finansowych.
Model Stealer-As-A-Service
VietCredCare oferowany jest innym aspirującym cyberprzestępcom w modelu Stealer-as-a-Service i jest reklamowany na Facebooku, YouTube i Telegramie. Zarządzany jest przez osoby mówiące po wietnamsku. Klienci mogą kupić dostęp do botnetu zarządzanego przez twórców malware lub uzyskać dostęp do kodu źródłowego w celu odsprzedaży lub użytku osobistego. Dostarczany jest również specjalny bot Telegram do kontrolowania wykradania i dostarczania poświadczeń z zainfekowanego urządzenia.
Jak się chronić przed VietCredCare?
Organizacje i osoby indywidualne muszą być czujne i podejmować środki zapobiegawcze przeciwko atakom opartym na malware. Obejmuje to regularne aktualizacje oprogramowania, używanie oprogramowania antywirusowego i silnych haseł. Kluczowe jest również zachowanie ostrożności przy klikaniu linków lub pobieraniu załączników z nieznanych źródeł, gdyż mogą one zawierać złośliwe oprogramowanie takie jak VietCredCare.
Podsumowanie
VietCredCare to zaawansowane złośliwe oprogramowanie, które stanowi znaczące zagrożenie dla firm i ich obecności online. Zdolność tego malware do kradzieży poświadczeń z kont biznesowych na Facebooku podkreśla potrzebę wzmocnienia środków bezpieczeństwa cybernetycznego i świadomości użytkowników oraz organizacji. Zapobieganie malware, w tym trojanom, ransomware, spyware, rootkitom, robakom i eksploitom zeroday, jest kluczowe, aby uniknąć szkód i zabezpieczyć sieć przed potencjalnymi atakami.