Các nhà quảng cáo trên Facebook tại Việt Nam là mục tiêu của một kẻ đánh cắp thông tin chưa từng được biết đến trước đây có tên VietCredCare ít nhất là từ tháng 8/2022.
Phần mềm độc hại này "đáng chú ý vì khả năng tự động lọc cookie phiên Facebook và thông tin đăng nhập bị đánh cắp từ các thiết bị bị xâm nhập và đánh giá xem các tài khoản này có quản lý hồ sơ doanh nghiệp hay không và liệu chúng có duy trì số dư tín dụng quảng cáo Meta dương hay không", Group-IB có trụ sở tại Singapore cho biết trong một báo cáo mới được chia sẻ với The Hacker VN.
Mục tiêu cuối cùng của kế hoạch phát tán phần mềm độc hại quy mô lớn là tạo điều kiện thuận lợi cho việc tiếp quản tài khoản Facebook của công ty bằng cách nhắm mục tiêu đến các cá nhân Việt Nam quản lý hồ sơ Facebook của các doanh nghiệp và tổ chức nổi tiếng.
Các tài khoản Facebook đã bị thu giữ thành công sau đó được các tác nhân đe dọa đằng sau hoạt động này sử dụng để đăng nội dung chính trị hoặc tuyên truyền lừa đảo và lừa đảo liên kết để thu lợi tài chính.
VietCredCare được cung cấp cho các tội phạm mạng tham vọng khác theo mô hình đánh cắp như một dịch vụ và được quảng cáo trên Facebook, YouTube và Telegram. Nó được đánh giá là được quản lý bởi các cá nhân nói tiếng Việt.
Khách hàng có tùy chọn mua quyền truy cập vào botnet do nhà phát triển phần mềm độc hại quản lý hoặc mua quyền truy cập vào mã nguồn để bán lại hoặc sử dụng cá nhân. Họ cũng được cung cấp một bot Telegram riêng để quản lý việc lọc và phân phối thông tin đăng nhập từ một thiết bị bị nhiễm.
Các tệp . Phần mềm độc hại dựa trên NET được phân phối thông qua các liên kết đến các trang web không có thật trên các bài đăng trên phương tiện truyền thông xã hội và nền tảng nhắn tin tức thời, giả mạo là phần mềm hợp pháp như Microsoft Office hoặc Acrobat Reader để lừa khách truy cập cài đặt chúng.
Một trong những điểm bán hàng chính của nó là khả năng trích xuất thông tin đăng nhập, cookie và ID phiên từ các trình duyệt web như Google Chrome, Microsoft Edge và Cốc Cốc, cho thấy trọng tâm của nó tại Việt Nam.
Nó cũng có thể truy xuất địa chỉ IP của nạn nhân, kiểm tra xem Facebook có phải là hồ sơ doanh nghiệp hay không và đánh giá xem tài khoản được đề cập hiện có đang quản lý bất kỳ quảng cáo nào hay không, đồng thời thực hiện các bước để tránh bị phát hiện bằng cách vô hiệu hóa Giao diện quét chống phần mềm độc hại Windows (AMSI) và tự thêm vào danh sách loại trừ của Tính năng Chống vi-rút của Bộ bảo vệ Windows.
"Chức năng cốt lõi của VietCredCare để lọc thông tin đăng nhập Facebook khiến các tổ chức ở cả khu vực công và tư nhân có nguy cơ bị thiệt hại về danh tiếng và tài chính nếu tài khoản nhạy cảm của họ bị xâm phạm", Vesta Matveeva, người đứng đầu Cục Điều tra Tội phạm Công nghệ cao APAC, cho biết.
Thông tin đăng nhập thuộc về một số cơ quan chính phủ, trường đại học, nền tảng thương mại điện tử, ngân hàng và các công ty Việt Nam đã bị hút qua phần mềm độc hại đánh cắp.
VietCredCare cũng là sự bổ sung mới nhất vào danh sách dài các phần mềm độc hại đánh cắp, chẳng hạn như Ducktail và NodeStealer, có nguồn gốc từ hệ sinh thái tội phạm mạng Việt Nam với mục đích nhắm mục tiêu vào các tài khoản Facebook.
Điều đó đã nói, Group-IB nói với The Hacker News rằng không có bằng chứng nào ở giai đoạn này cho thấy mối liên hệ giữa VietCredCare và các chủng khác.
"Với Ducktail, các chức năng khác nhau và trong khi có một số điểm tương đồng với NodeStealer, chúng tôi lưu ý rằng NodeStealer sử dụng máy chủ [ra lệnh và kiểm soát] thay vì Telegram, cộng với lựa chọn nạn nhân của họ là khác nhau", công ty cho biết.
"Mô hình kinh doanh ăn cắp như một dịch vụ cho phép các tác nhân đe dọa có ít hoặc không có kỹ năng kỹ thuật tham gia vào lĩnh vực tội phạm mạng, dẫn đến nhiều nạn nhân vô tội bị tổn hại hơn."