Los anunciantes de Facebook en Vietnam son el objetivo de un ladrón de información hasta ahora desconocido denominado VietnamCredCare al menos desde agosto de 2022.
El malware es «notable por su capacidad para filtrar automáticamente las cookies de sesión de Facebook y las credenciales robadas de dispositivos comprometidos, y evaluar si estas cuentas administran perfiles comerciales y si mantienen un saldo de crédito meta publicitario positivo», dijo Group-IB, con sede en Singapur. dicho en un nuevo informe compartido con The Hacker News.
El objetivo final del esquema de distribución de malware a gran escala es facilitar la toma de control de cuentas corporativas de Facebook apuntando a individuos vietnamitas que administran los perfiles de Facebook de empresas y organizaciones destacadas.
Los actores de amenazas detrás de la operación utilizan las cuentas de Facebook que han sido incautadas con éxito para publicar contenido político o propagar phishing y estafas de afiliados para obtener ganancias financieras.
VietCredCare se ofrece a otros aspirantes a ciberdelincuentes bajo el modelo de ladrón como servicio y se anuncia en Facebook, YouTube y Telegram. Se considera que está administrado por personas de habla vietnamita.
Los clientes tienen la opción de comprar acceso a una botnet administrada por los desarrolladores del malware o adquirir acceso al código fuente para reventa o uso personal. También se les proporciona un bot de Telegram personalizado para gestionar la exfiltración y entrega de credenciales desde un dispositivo infectado.
El malware basado en .NET se distribuye a través de enlaces a sitios falsos en publicaciones de redes sociales y plataformas de mensajería instantánea, haciéndose pasar por software legítimo como Microsoft Office o Acrobat Reader para engañar a los visitantes para que los instalen.
Uno de sus principales puntos de venta es su capacidad para extraer credenciales, cookies e ID de sesión de navegadores web como Google Chrome, Microsoft Edge y Cốc Cốc, lo que indica su enfoque vietnamita.
También puede recuperar la dirección IP de una víctima, verificar si Facebook es un perfil comercial y evaluar si la cuenta en cuestión administra actualmente algún anuncio, al mismo tiempo que toma medidas para evadir la detección deshabilitando la interfaz de escaneo antimalware de Windows (AARMI) y agregándose a la lista de exclusión de Windows Defender Antivirus.
«La funcionalidad principal de VietCredCare para filtrar las credenciales de Facebook pone a las organizaciones tanto del sector público como del privado en riesgo de sufrir daños financieros y de reputación si sus cuentas confidenciales se ven comprometidas», dijo Vesta Matveeva, jefa del Departamento de Investigación de Delitos de Alta Tecnología para APAC.
Las credenciales pertenecientes a varias agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas han sido desviadas a través del malware ladrón.
VietCredCare es también la última incorporación a una larga lista de malware ladrón, como Ducktail y NodeStealer, que se originó en el ecosistema cibercriminal vietnamita con la intención de atacar cuentas de Facebook.
«El modelo de negocio de ladrones como servicio permite a los actores de amenazas con poca o ninguna habilidad técnica ingresar al campo del delito cibernético, lo que da como resultado que más víctimas inocentes resulten perjudicadas», dijo Group-IB.