Nuevo ladrón de 'VietCredCare' dirigido a anunciantes de Facebook en Vietnam

Los anunciantes de Facebook en Vietnam son el objetivo de un ladrón de información previamente desconocido denominado VietCredCare al menos desde agosto de 2022.

El malware es "notable por su capacidad para filtrar automáticamente las cookies de sesión de Facebook y las credenciales robadas de dispositivos comprometidos, y evaluar si estas cuentas administran perfiles comerciales y si mantienen un saldo positivo de crédito publicitario de Meta", dijo Group-IB, con sede en Singapur, en un nuevo informe compartido con The Hacker News.

El objetivo final del esquema de distribución de malware a gran escala es facilitar la toma de control de las cuentas corporativas de Facebook al dirigirse a las personas vietnamitas que administran los perfiles de Facebook de empresas y organizaciones destacadas.

Las cuentas de Facebook que han sido incautadas con éxito son utilizadas por los actores de amenazas detrás de la operación para publicar contenido político o para propagar phishing y estafas de afiliados para obtener ganancias financieras.

VietCredCare se ofrece a otros aspirantes a ciberdelincuentes bajo el modelo de ladrón como servicio y se anuncia en Facebook, YouTube y Telegram. Se considera que está gestionado por personas de habla vietnamita.

Los clientes tienen la opción de comprar acceso a una botnet administrada por los desarrolladores del malware o obtener acceso al código fuente para su reventa o uso personal. También se les proporciona un bot de Telegram a medida para gestionar la exfiltración y la entrega de credenciales desde un dispositivo infectado.

El. El malware basado en NET se distribuye a través de enlaces a sitios falsos en publicaciones de redes sociales y plataformas de mensajería instantánea, haciéndose pasar por software legítimo como Microsoft Office o Acrobat Reader para engañar a los visitantes para que los instalen.


Uno de sus principales puntos de venta es su capacidad para extraer credenciales, cookies e ID de sesión de navegadores web como Google Chrome, Microsoft Edge y Cốc Cốc, lo que indica su enfoque vietnamita.

También puede recuperar la dirección IP de una víctima, verificar si Facebook es un perfil comercial y evaluar si la cuenta en cuestión está administrando actualmente algún anuncio, al mismo tiempo que toma medidas para evadir la detección deshabilitando la interfaz de escaneo antimalware de Windows (AMSI) y agregándose a la lista de exclusión de Windows Defender Antivirus.

"La funcionalidad principal de VietCredCare para filtrar las credenciales de Facebook pone a las organizaciones tanto en el sector público como en el privado en riesgo de daños financieros y de reputación si sus cuentas confidenciales se ven comprometidas", dijo Vesta Matveeva, jefa del Departamento de Investigación de Delitos de Alta Tecnología de APAC.

Las credenciales pertenecientes a varias agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas han sido desviadas a través del malware ladrón.

VietCredCare es también la última incorporación a una larga lista de malware ladrón, como Ducktail y NodeStealer, que se ha originado en el ecosistema cibercriminal vietnamita con la intención de atacar cuentas de Facebook.

Dicho esto, Group-IB le dijo a The Hacker News que no hay evidencia en esta etapa que sugiera conexiones entre VietCredCare y las otras cepas.

"Con Ducktail, las funciones son diferentes, y aunque hay algunas similitudes con NodeStealer, observamos que este último usa un servidor [de comando y control] en lugar de Telegram, además de que su elección de víctimas es diferente", dijo la compañía.

"El modelo de negocio de ladrón como servicio permite a los actores de amenazas con poca o ninguna habilidad técnica entrar en el campo de la ciberdelincuencia, lo que da lugar a que más víctimas inocentes sufran daños".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta