Anunciantes do Facebook no Vietnã são o alvo de um capturador de informações antes desconhecido, apelidado de VietCredCare, pelo menos desde agosto de 2022.
O malware é "notável por sua capacidade de filtrar automaticamente os cookies de sessão do Facebook e as credenciais roubadas de dispositivos comprometidos, e avaliar se essas contas gerenciam perfis de negócio e se mantêm um saldo positivo de crédito de anúncios da Meta", disse o Grupo-IB, sediado em Singapura, em um novo relatório compartilhado com o The Hacker News.
O objetivo final do grande esquema de distribuição de malware é facilitar a tomada de contas corporativas do Facebook ao mirar em indivíduos vietnamitas que gerenciam os perfis do Facebook de negócios e organizações proeminentes.
Contas do Facebook que foram tomadas com sucesso são usadas para postar conteúdo político ou propagar phishing e golpes de afiliados para ganho financeiro.
O VietCredCare é oferecido a outros cibercriminosos aspirantes no modelo de "stealer-as-a-service" e anunciado no Facebook, YouTube e Telegram.
Acredita-se que seja gerenciado por indivíduos que falam vietnamita.
Os clientes têm a opção de comprar o acesso a uma botnet gerenciada pelos desenvolvedores do malware, ou obter o acesso ao código fonte para revenda ou uso pessoal.
Também é oferecido um bot Telegram personalizado para gerenciar a exfiltração e entrega de credenciais de um dispositivo infectado.
O malware baseado em .NET é distribuído através de links para sites falsificados em posts de mídias sociais e plataformas de mensagens instantâneas, se passando por software legítimo como Microsoft Office ou Acrobat Reader para enganar os visitantes a instalá-los.
Um de seus pontos de venda importantes é sua capacidade de extrair credenciais, cookies e IDs de sessão de navegadores web como Google Chrome, Microsoft Edge e Cốc Cốc, indicando seu foco vietnamita.
Ele também pode recuperar o endereço IP da vítima, verificar se uma conta do Facebook é um perfil de negócio e avaliar se a conta em questão está gerenciando algum anúncio, enquanto ao mesmo tempo toma medidas para evitar a detecção ao desativar a Interface de Varredura Antimalware do Windows (AMSI) e adicionando-se à lista de exclusão do Antivírus do Windows Defender.
"A funcionalidade central do VietCredCare para filtrar as credenciais do Facebook coloca as organizações dos setores público e privado em risco de danos à reputação e financeiros se suas contas sensíveis forem comprometidas", disse Vesta Matveeva, chefe do Departamento de Investigação de Crimes de Alta Tecnologia para APAC.
Credenciais pertencentes a várias agências governamentais, universidades, plataformas de comércio eletrônico, bancos e empresas vietnamitas foram drenadas através do malware stealer.
O VietCredCare é também a mais recente adição a uma longa lista de malwares stealer, como o Ducktail e o NodeStealer, que se originaram do ecossistema de cibercriminosos vietnamitas com a intenção de visar contas do Facebook.
Dito isso, o Group-IB disse ao The Hacker News que não há evidências até agora que sugiram conexões entre o VietCredCare e as outras cepas.
"Com o Ducktail, as funções são diferentes e, enquanto há algumas semelhanças com o NodeStealer, notamos que o último usa um servidor de comando e controle em vez do Telegram, além da escolha de vítimas ser diferente", disse a empresa.
"O modelo de negócio stealer-as-a-service permite a atores de ameaça com poucas ou nenhuma habilidade técnica entrar no campo do cibercrime, o que resulta em mais vítimas inocentes sendo prejudicadas."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...