Novo 'VietCredCare' Stealer visando anunciantes do Facebook no Vietnã
21 de Fevereiro de 2024

Anunciantes do Facebook no Vietnã são o alvo de um capturador de informações antes desconhecido, apelidado de VietCredCare, pelo menos desde agosto de 2022.

O malware é "notável por sua capacidade de filtrar automaticamente os cookies de sessão do Facebook e as credenciais roubadas de dispositivos comprometidos, e avaliar se essas contas gerenciam perfis de negócio e se mantêm um saldo positivo de crédito de anúncios da Meta", disse o Grupo-IB, sediado em Singapura, em um novo relatório compartilhado com o The Hacker News.

O objetivo final do grande esquema de distribuição de malware é facilitar a tomada de contas corporativas do Facebook ao mirar em indivíduos vietnamitas que gerenciam os perfis do Facebook de negócios e organizações proeminentes.

Contas do Facebook que foram tomadas com sucesso são usadas para postar conteúdo político ou propagar phishing e golpes de afiliados para ganho financeiro.

O VietCredCare é oferecido a outros cibercriminosos aspirantes no modelo de "stealer-as-a-service" e anunciado no Facebook, YouTube e Telegram.

Acredita-se que seja gerenciado por indivíduos que falam vietnamita.

Os clientes têm a opção de comprar o acesso a uma botnet gerenciada pelos desenvolvedores do malware, ou obter o acesso ao código fonte para revenda ou uso pessoal.

Também é oferecido um bot Telegram personalizado para gerenciar a exfiltração e entrega de credenciais de um dispositivo infectado.

O malware baseado em .NET é distribuído através de links para sites falsificados em posts de mídias sociais e plataformas de mensagens instantâneas, se passando por software legítimo como Microsoft Office ou Acrobat Reader para enganar os visitantes a instalá-los.

Um de seus pontos de venda importantes é sua capacidade de extrair credenciais, cookies e IDs de sessão de navegadores web como Google Chrome, Microsoft Edge e Cốc Cốc, indicando seu foco vietnamita.

Ele também pode recuperar o endereço IP da vítima, verificar se uma conta do Facebook é um perfil de negócio e avaliar se a conta em questão está gerenciando algum anúncio, enquanto ao mesmo tempo toma medidas para evitar a detecção ao desativar a Interface de Varredura Antimalware do Windows (AMSI) e adicionando-se à lista de exclusão do Antivírus do Windows Defender.

"A funcionalidade central do VietCredCare para filtrar as credenciais do Facebook coloca as organizações dos setores público e privado em risco de danos à reputação e financeiros se suas contas sensíveis forem comprometidas", disse Vesta Matveeva, chefe do Departamento de Investigação de Crimes de Alta Tecnologia para APAC.

Credenciais pertencentes a várias agências governamentais, universidades, plataformas de comércio eletrônico, bancos e empresas vietnamitas foram drenadas através do malware stealer.

O VietCredCare é também a mais recente adição a uma longa lista de malwares stealer, como o Ducktail e o NodeStealer, que se originaram do ecossistema de cibercriminosos vietnamitas com a intenção de visar contas do Facebook.

Dito isso, o Group-IB disse ao The Hacker News que não há evidências até agora que sugiram conexões entre o VietCredCare e as outras cepas.

"Com o Ducktail, as funções são diferentes e, enquanto há algumas semelhanças com o NodeStealer, notamos que o último usa um servidor de comando e controle em vez do Telegram, além da escolha de vítimas ser diferente", disse a empresa.

"O modelo de negócio stealer-as-a-service permite a atores de ameaça com poucas ou nenhuma habilidade técnica entrar no campo do cibercrime, o que resulta em mais vítimas inocentes sendo prejudicadas."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...