Les annonceurs Facebook au Vietnam sont la cible d’un voleur d’informations jusqu’alors inconnu baptisé VietCredCare au moins depuis août 2022.
Le malware est « remarquable par sa capacité à filtrer automatiquement les cookies de session Facebook et les informations d’identification volées sur des appareils compromis, et à évaluer si ces comptes gèrent des profils professionnels et s’ils maintiennent un solde de crédit publicitaire Meta positif », a déclaré Group-IB, dont le siège est à Singapour. dit dans un nouveau rapport partagé avec The Hacker News.
L’objectif final de ce système de distribution de logiciels malveillants à grande échelle est de faciliter la prise de contrôle des comptes Facebook d’entreprise en ciblant les individus vietnamiens qui gèrent les profils Facebook d’entreprises et d’organisations de premier plan.
Les comptes Facebook qui ont été saisis avec succès sont ensuite utilisés par les acteurs malveillants à l’origine de l’opération pour publier du contenu politique ou pour propager des escroqueries par phishing et par affiliation à des fins financières.
VietCredCare est proposé à d’autres cybercriminels en herbe dans le cadre du modèle de vol en tant que service et annoncé sur Facebook, YouTube et Telegram. Il est évalué comme étant géré par des personnes parlant vietnamien.
Les clients ont la possibilité soit d’acheter l’accès à un botnet géré par les développeurs du malware, soit d’obtenir l’accès au code source pour la revente ou un usage personnel. Ils disposent également d’un robot Telegram sur mesure pour gérer l’exfiltration et la délivrance des informations d’identification à partir d’un appareil infecté.
Le malware basé sur .NET est distribué via des liens vers de faux sites sur les réseaux sociaux et les plateformes de messagerie instantanée, se faisant passer pour des logiciels légitimes comme Microsoft Office ou Acrobat Reader pour inciter les visiteurs à les installer.
L’un de ses principaux arguments de vente est sa capacité à extraire des informations d’identification, des cookies et des identifiants de session à partir de navigateurs Web tels que Google Chrome, Microsoft Edge et Cốc Cốc, ce qui indique son orientation vietnamienne.
Il peut également récupérer l’adresse IP d’une victime, vérifier si Facebook est un profil professionnel et évaluer si le compte en question gère actuellement des publicités, tout en prenant simultanément des mesures pour échapper à la détection en désactivant l’interface d’analyse anti-programme malveillant de Windows (AMSI) et s’ajoutant à la liste d’exclusion de l’antivirus Windows Defender.
« La fonctionnalité principale de VietCredCare permettant de filtrer les informations d’identification de Facebook expose les organisations des secteurs public et privé à des risques de réputation et de dommages financiers si leurs comptes sensibles sont compromis », a déclaré Vesta Matveeva, responsable du département d’enquête sur les crimes de haute technologie pour l’APAC.
Les informations d’identification appartenant à plusieurs agences gouvernementales, universités, plateformes de commerce électronique, banques et entreprises vietnamiennes ont été siphonnées via le malware voleur.
VietCredCare est également le dernier ajout à une longue liste de logiciels malveillants voleurs, tels que Ducktail et NodeStealer, issus de l’écosystème cybercriminel vietnamien dans le but de cibler les comptes Facebook.
Cela dit, Group-IB a déclaré à The Hacker News qu’il n’y avait aucune preuve à ce stade suggérant des liens entre VietCredCare et les autres souches.
« Avec Ducktail, les fonctions sont différentes, et bien qu’il y ait quelques similitudes avec NodeStealer, on note que ce dernier utilise un [command-and-control] serveur au lieu de Telegram, et leur choix de victimes est différent », a déclaré la société.
« Le modèle économique du vol en tant que service permet à des acteurs malveillants ayant peu ou pas de compétences techniques d’entrer dans le domaine de la cybercriminalité, ce qui fait du mal à davantage de victimes innocentes. »