Vietnam’daki Facebook reklamverenleri, daha önce bilinmeyen bir bilgi hırsızının hedefi VietCredCare en azından Ağustos 2022’den beri.
Singapur merkezli Group-IB, kötü amaçlı yazılımın, “Facebook oturumu çerezlerini ve ele geçirilen cihazlardan çalınan kimlik bilgilerini otomatik olarak filtreleme ve bu hesapların iş profillerini yönetip yönetmediğini ve pozitif bir Meta reklam kredi bakiyesi sürdürüp sürdürmediklerini değerlendirme yeteneği açısından dikkate değer” olduğunu belirtti. söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Büyük ölçekli kötü amaçlı yazılım dağıtım planının nihai hedefi, önde gelen işletme ve kuruluşların Facebook profillerini yöneten Vietnamlı bireyleri hedef alarak kurumsal Facebook hesaplarının ele geçirilmesini kolaylaştırmaktır.
Başarılı bir şekilde ele geçirilen Facebook hesapları, operasyonun arkasındaki tehdit aktörleri tarafından siyasi içerik yayınlamak veya finansal kazanç amacıyla kimlik avı ve bağlı kuruluş dolandırıcılıklarını yaymak için kullanılıyor.
VietCredCare, hizmet olarak hırsız modeli kapsamında diğer hevesli siber suçlulara sunuluyor ve Facebook, YouTube ve Telegram’da reklamı yapılıyor. Vietnamca konuşan kişiler tarafından yönetileceği değerlendirilmektedir.
Müşteriler, ya kötü amaçlı yazılımın geliştiricileri tarafından yönetilen bir botnet’e erişim satın alma ya da yeniden satış ya da kişisel kullanım için kaynak koduna erişim sağlama seçeneğine sahip. Ayrıca virüslü bir cihazdan kimlik bilgilerinin sızmasını ve teslimini yönetmek için özel bir Telegram botu da sağlanmaktadır.
.NET tabanlı kötü amaçlı yazılım, sosyal medya gönderileri ve anlık mesajlaşma platformlarındaki sahte sitelere bağlantılar yoluyla dağıtılıyor ve ziyaretçileri kandırıp bunları yüklemeleri için Microsoft Office veya Acrobat Reader gibi meşru yazılımlar gibi görünerek dağıtılıyor.
En önemli satış noktalarından biri, Google Chrome, Microsoft Edge ve Cốc Cốc gibi web tarayıcılarından kimlik bilgilerini, çerezleri ve oturum kimliklerini çıkarma yeteneğidir ve bu da Vietnamca’ya odaklandığını gösterir.
Ayrıca kurbanın IP adresini alabilir, Facebook’un bir işletme profili olup olmadığını kontrol edebilir ve söz konusu hesabın şu anda herhangi bir reklamı yönetip yönetmediğini değerlendirebilir ve aynı zamanda Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzünü devre dışı bırakarak tespitten kaçınmak için adımlar atabilir (AMSI) ve kendisini Windows Defender Antivirus’ün dışlama listesine ekleme.
APAC Yüksek Teknoloji Suç Soruşturma Departmanı başkanı Vesta Matveeva, “VietCredCare’in Facebook kimlik bilgilerini filtrelemeye yönelik temel işlevi, hem kamu hem de özel sektördeki kuruluşları, hassas hesaplarının ele geçirilmesi durumunda itibar ve mali zarar riskiyle karşı karşıya bırakıyor” dedi.
Çeşitli devlet kurumlarına, üniversitelere, e-ticaret platformlarına, bankalara ve Vietnam şirketlerine ait kimlik bilgileri, hırsız kötü amaçlı yazılım aracılığıyla ele geçirildi.
VietCredCare aynı zamanda Ducktail ve NodeStealer gibi Vietnam siber suç ekosisteminden kaynaklanan, hırsızlığa yönelik kötü amaçlı yazılımların uzun bir listesinin en son üyesidir. Facebook hesaplarını hedefleme.
Bununla birlikte Group-IB, The Hacker News’e bu aşamada VietCredCare ile diğer türler arasında bağlantı olduğunu gösteren hiçbir kanıt bulunmadığını söyledi.
“Ducktail ile işlevler farklıdır ve NodeStealer ile bazı benzerlikler olsa da ikincisinin bir [command-and-control] Şirket, Telegram yerine sunucuya erişim sağladıklarını, ayrıca kurban seçimlerinin de farklı olduğunu belirtti.
“Hizmet olarak hırsız iş modeli, teknik becerisi çok az olan veya hiç olmayan tehdit aktörlerinin siber suç alanına girmesine olanak tanıyor ve bu da daha fazla masum kurbanın zarar görmesine neden oluyor.”