Voleur VietCredCare
Depuis août 2022, les annonceurs Facebook au Vietnam ont été attaqués par un voleur d'informations jusqu'alors non identifié appelé VietCredCare. Ce malware se distingue par sa capacité à filtrer automatiquement les cookies de session Facebook et les informations d'identification volées sur les appareils compromis. Ensuite, il évalue si les comptes ciblés supervisent les profils commerciaux et possèdent un solde de crédit méta publicitaire favorable.
L'objectif ultime de cette vaste campagne d'attaques de logiciels malveillants est de permettre la prise de contrôle non autorisée des comptes Facebook d'entreprise. L'accent est mis sur les individus au Vietnam qui gèrent les profils Facebook d'entreprises et d'organisations de premier plan. Une fois compromis, ces comptes Facebook saisis deviennent des outils pour les acteurs menaçants à l’origine de l’opération. Ils utilisent ces comptes pour diffuser du contenu politique ou promouvoir des escroqueries par hameçonnage et par affiliation, dans le but ultime de réaliser un gain financier.
Table des matières
Le voleur VietCredCare est proposé à la vente à d’autres cybercriminels
VietCredCare fonctionne comme un Stealer-as-a-Service (SaaS) et sa disponibilité s'étend aux aspirants cybercriminels. Des publicités pour ce service peuvent être trouvées sur diverses plateformes, notamment Facebook, YouTube et Telegram. L’opération serait supervisée par des personnes maîtrisant la langue vietnamienne.
Les clients potentiels peuvent choisir entre acheter l'accès à un botnet géré par les développeurs du malware ou acquérir le code source pour un usage personnel ou pour la revente. De plus, les clients reçoivent un robot Telegram personnalisé conçu pour gérer l'extraction et la fourniture des informations d'identification des appareils infectés.
Ce malware, construit sur le framework .NET, est diffusé via des liens partagés dans les publications des réseaux sociaux et les plateformes de messagerie instantanée. Il se déguise intelligemment en logiciels légitimes, tels que Microsoft Office ou Acrobat Reader, incitant les utilisateurs à installer involontairement du contenu malveillant provenant de sites Web trompeurs.
Le voleur VietCredCare pourrait compromettre les données sensibles
Le VietCredCare Stealer se distingue du reste des menaces de logiciels malveillants voleurs par sa fonctionnalité importante d'extraction d'informations d'identification, de cookies et d'identifiants de session à partir de navigateurs Web bien connus tels que Google Chrome, Microsoft Edge et Cốc Cốc, soulignant son orientation vers le contexte vietnamien.
Au-delà de cela, il va encore plus loin en récupérant l'adresse IP d'une victime, en déterminant si un compte Facebook est associé à un profil professionnel et en évaluant si le compte gère actuellement des publicités. Simultanément, il utilise des tactiques d'évasion pour éviter la détection, telles que la désactivation de l'interface d'analyse antimalware Windows (AMSI) et l'ajout de lui-même à la liste d'exclusion de l'antivirus Windows Defender.
La fonctionnalité de base de VietCredCare, en particulier sa capacité à filtrer les identifiants Facebook, présente un risque important pour les organisations des secteurs public et privé. Si des comptes sensibles sont compromis, cela peut entraîner de graves conséquences financières et en termes de réputation. Les cibles de ce malware voleur incluent les informations d’identification de diverses entités, notamment des agences gouvernementales, des universités, des plateformes de commerce électronique, des banques et des entreprises vietnamiennes.
Plusieurs menaces de voleurs ont émergé de la part de groupes cybercriminels vietnamiens
VietCredCare rejoint les rangs des malwares voleurs issus de l'écosystème cybercriminel vietnamien, aux côtés de ses prédécesseurs comme Ducktail et NodeStealer, tous spécifiquement conçus pour cibler les comptes Facebook.
Malgré leur origine commune, les experts doivent encore établir un lien concret entre ces différentes souches voleuses. Ducktail présente des fonctions distinctes, et bien que certaines similitudes existent avec NodeStealer, ce dernier diverge en utilisant un serveur de commande et de contrôle (C2) au lieu de Telegram, avec des différences dans les profils de victimes cibles.
Néanmoins, le modèle commercial SaaS offre aux acteurs malveillants disposant d’une expertise technique minimale la possibilité de se livrer à la cybercriminalité. Cette accessibilité contribue à accroître le nombre de victimes innocentes victimes de ces activités néfastes.
