VietCredCare-Stealer
Seit August 2022 werden Facebook-Werbetreibende in Vietnam von einem bisher unbekannten Informationsdiebstahler namens VietCredCare angegriffen. Diese Malware zeichnet sich durch ihre Fähigkeit aus, automatisch Facebook-Sitzungscookies und Anmeldeinformationen zu durchsuchen, die von kompromittierten Geräten gestohlen wurden. Anschließend wird bewertet, ob die Zielkonten die Unternehmensprofile überwachen und über ein günstiges Guthaben für Meta-Anzeigen verfügen.
Das ultimative Ziel dieser weit verbreiteten Malware-Angriffskampagne besteht darin, die unbefugte Übernahme von Facebook-Unternehmenskonten zu ermöglichen. Der Fokus liegt auf Personen in Vietnam, die die Facebook-Profile bekannter Unternehmen und Organisationen verwalten. Nach erfolgreicher Kompromittierung werden diese beschlagnahmten Facebook-Konten zu Werkzeugen für die Bedrohungsakteure, die hinter der Operation stehen. Sie nutzen diese Konten, um politische Inhalte zu verbreiten oder Phishing- und Affiliate-Betrügereien zu fördern, letztlich mit dem Ziel, finanziellen Gewinn zu erzielen.
Inhaltsverzeichnis
Der VietCredCare Stealer wird anderen Cyberkriminellen zum Verkauf angeboten
VietCredCare fungiert als Stealer-as-a-Service (SaaS) und ist auch für aufstrebende Cyberkriminelle verfügbar. Werbung für diesen Dienst ist auf verschiedenen Plattformen zu finden, darunter Facebook, YouTube und Telegram. Es wird angenommen, dass die Operation von Personen überwacht wird, die die vietnamesische Sprache beherrschen.
Potenzielle Kunden können zwischen dem Kauf eines Zugangs zu einem von den Malware-Entwicklern verwalteten Botnetz oder dem Erwerb des Quellcodes für den persönlichen Gebrauch oder Weiterverkauf wählen. Darüber hinaus erhalten Kunden einen maßgeschneiderten Telegram-Bot, der die Extraktion und Übermittlung von Anmeldeinformationen von infizierten Geräten übernimmt.
Diese auf dem .NET-Framework basierende Malware wird über Links verbreitet, die in Social-Media-Beiträgen und Instant-Messaging-Plattformen geteilt werden. Es tarnt sich geschickt als legitime Software wie Microsoft Office oder Acrobat Reader und verleitet Benutzer dazu, unabsichtlich schädliche Inhalte von betrügerischen Websites zu installieren.
Der VietCredCare Stealer könnte sensible Daten kompromittieren
Der VietCredCare Stealer unterscheidet sich von den anderen Stealer-Malware-Bedrohungen durch seine herausragende Funktion, Anmeldeinformationen, Cookies und Sitzungs-IDs aus bekannten Webbrowsern wie Google Chrome, Microsoft Edge und Cốc Cốc zu extrahieren, was seinen Fokus auf den vietnamesischen Kontext unterstreicht.
Darüber hinaus geht es noch einen Schritt weiter, indem es die IP-Adresse eines Opfers abruft, erkennt, ob ein Facebook-Konto mit einem Unternehmensprofil verknüpft ist, und auswertet, ob das Konto derzeit Werbung verwaltet. Gleichzeitig setzt es Umgehungstaktiken ein, um einer Entdeckung zu entgehen, wie z. B. das Deaktivieren der Windows Antimalware Scan Interface (AMSI) und das Hinzufügen sich selbst zur Ausschlussliste des Windows Defender Antivirus.
Die Kernfunktionalität von VietCredCare, insbesondere seine Fähigkeit, Facebook-Anmeldeinformationen herauszufiltern, stellt ein erhebliches Risiko für Organisationen im öffentlichen und privaten Sektor dar. Wenn sensible Konten kompromittiert werden, kann dies schwerwiegende Folgen für den Ruf und die Finanzen haben. Zu den Zielen dieser Stealer-Malware gehörten Zugangsdaten verschiedener Unternehmen, darunter Regierungsbehörden, Universitäten, E-Commerce-Plattformen, Banken und vietnamesische Unternehmen.
Von vietnamesischen Cyberkriminellengruppen sind mehrere Stealer-Bedrohungen ausgegangen
VietCredCare reiht sich in die Riege der Stealer-Malware ein, die aus dem vietnamesischen Cyberkriminalitäts-Ökosystem stammt, neben Vorgängern wie Ducktail und NodeStealer, die alle speziell für Facebook-Konten entwickelt wurden.
Trotz ihres gemeinsamen Ursprungs haben Experten noch keinen konkreten Zusammenhang zwischen diesen verschiedenen Stealer-Stämmen festgestellt. Ducktail weist unterschiedliche Funktionen auf, und obwohl einige Ähnlichkeiten mit NodeStealer bestehen, unterscheidet sich letzterer durch die Verwendung eines Command-and-Control (C2)-Servers anstelle von Telegram, mit Unterschieden in den Profilen ihrer Zielopfer.
Dennoch bietet das SaaS-Geschäftsmodell Bedrohungsakteuren mit minimalem technischem Fachwissen eine Möglichkeit, sich an Cyberkriminalität zu beteiligen. Diese Zugänglichkeit trägt dazu bei, dass die Zahl unschuldiger Opfer steigt, die solchen schädlichen Aktivitäten zum Opfer fallen.
