Οι διαφημιστές στο Facebook στο Βιετνάμ έχουν γίνει στόχος ενός stealer πληροφοριών που ονομάζεται VietCredCare από τον Αύγουστο του 2022.
“Το κακόβουλο λογισμικό ξεχωρίζει για την ικανότητά του να ανιχνεύει αυτόματα τα cookies και τα διαπιστευτήρια του Facebook που έχουν κλαπεί από παραβιασμένες συσκευές, ενώ ελέγχει αν οι λογαριασμοί αυτοί διαχειρίζονται εταιρικά προφίλ και διατηρούν θετικό πιστωτικό υπόλοιπο για τις διαφημίσεις της Meta“, αναφέρει η εταιρεία Group-IB με έδρα τη Σιγκαπούρη, σύμφωνα με νέα αναφορά που δημοσιεύθηκε στο The Hacker News.
Διαβάστε περισσότερα: Συνελήφθη ο Ουκρανός διαχειριστής του Raccoon Infostealer Malware
Ο τελικός στόχος του – μεγάλης κλίμακας – συστήματος διανομής κακόβουλου λογισμικού είναι να ευνοεί την απόκτηση εταιρικών λογαριασμών στο Facebook, στοχεύοντας τους Βιετναμέζους διαχειριστές προφίλ κορυφαίων εταιρειών και οργανισμών στο διαδίκτυο.
Οι λογαριασμοί στο Facebook που κατασχέθηκαν με επιτυχία χρησιμοποιούνται από χάκερς πίσω από επιχειρήσεις για τη δημοσίευση πολιτικού περιεχομένου ή για τη διάδοση phishing και απάτες προς οικονομικό όφελος.
Το VietCredCare προσφέρεται σε φιλόδοξους εγκληματίες του κυβερνοχώρου με το μοντέλο υπηρεσίας stealer και διαφημίζεται σε Facebook, YouTube και Telegram. Υποτίθεται ότι διαχειρίζονται άτομα που μιλούν Βιετναμέζικα.
Οι πελάτες έχουν την επιλογή να αγοράσουν πρόσβαση σε ένα botnet που διαχειρίζονται οι δημιουργοί του κακόβουλου λογισμικού, ή να αποκτήσουν πρόσβαση στον πηγαίο κώδικα για μεταπώληση ή προσωπική χρήση. Επιπλέον, παρέχεται ένα εξατομικευμένο bot Telegram για τη διαχείριση της εξαγωγής και παράδοσης διαπιστευτηρίων από μια μολυσμένη συσκευή.
Το κακόβουλο λογισμικό που βασίζεται σε .NET διαδίδεται μέσω συνδέσμων σε ψεύτικους ιστότοπους μέσω αναρτήσεων στα μέσα κοινωνικής δικτύωσης και πλατφόρμες ανταλλαγής άμεσων μηνυμάτων. Το παρουσιάζει ως νόμιμο λογισμικό, όπως το Microsoft Office ή το Acrobat Reader, για να παραπλανήσει τους επισκέπτες και να το εγκαταστήσουν.
Ένα από τα κύρια σημεία πώλησης του είναι η ικανότητά του να εξάγει διαπιστευτήρια, cookies και αναγνωριστικά περιόδου σύνδεσης από προγράμματα περιήγησης όπως το Google Chrome, το Microsoft Edge και το Cốc Cốc. Αυτό υποδεικνύει την έμφασή του στην αγορά του Βιετνάμ.
Διαβάστε ακόμη: Kimsuky: Νέα απειλή Troll Stealer στοχεύει τη Νότια Κορέα
Επιπλέον, μπορεί να εντοπίσει τη διεύθυνση IP του θύματος, να ελέγξει αν το προφίλ στο Facebook είναι επαγγελματικό και να αξιολογήσει εάν ο συγκεκριμένος λογαριασμός τρέχει διαφημίσεις αυτή τη στιγμή. Παράλληλα, προβαίνει σε ενέργειες για να αποφύγει τον εντοπισμό, απενεργοποιώντας τη διεπαφή σάρωσης προστασίας από κακόβουλο λογισμικό των Windows (AMSI) και προσθέτοντας στη λίστα εξαιρέσεων του Windows Defender Antivirus.
Η βασική λειτουργία του VietCredCare για το φιλτράρισμα των διαπιστευτηρίων του Facebook θέτει τους οργανισμούς, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα, σε κίνδυνο φήμης και οικονομικής ζημιάς εάν παραβιαστούν οι ευαίσθητοι λογαριασμοί τους, δήλωσε η Vesta Matveeva, επικεφαλής του τμήματος έρευνας εγκλήματος υψηλής τεχνολογίας για την APAC.
Πιστοποιητικά που ανήκουν σε δημόσιους φορείς, πανεπιστήμια, ηλεκτρονικές πλατφόρμες εμπορίου, τράπεζες και βιετναμέζικες εταιρείες έχουν υποστεί παραβίαση μέσω κακόβουλου λογισμικού.
Το VietCredCare αποτελεί την πιο πρόσφατη προσθήκη σε μια μακρά λίστα επικίνδυνων προγραμμάτων κλοπής, όπως το Ducktail και το NodeStealer, τα οποία προέρχονται από το βιετναμέζικο οικοσύστημα εγκλήματος στον κυβερνοχώρο, με στόχο την επίθεση σε λογαριασμούς στο Facebook.
Δείτε επίσης: Hackers από τη Βόρεια Κορέα στοχεύουν τον αμυντικό τομέα
Η επιχειρηματική πρακτική του “stealer-as-a-service” επιτρέπει σε χάκερς με ελάχιστες ή καθόλου τεχνικές ικανότητες να εισβάλλουν στον κυβερνοχώρο, με αποτέλεσμα να επηρεάζονται περισσότεροι αθώοι. Αυτή την άποψη εξέφρασε η Group-IB.
Πηγή: thehackernews.com
