Ladrón de VietCredCare
Desde agosto de 2022, los anunciantes de Facebook en Vietnam han sido atacados por un ladrón de información no identificado previamente llamado VietCredCare. Este malware destaca por su capacidad de examinar automáticamente las cookies de sesión de Facebook y las credenciales robadas de los dispositivos comprometidos. Luego, evalúa si las cuentas objetivo supervisan los perfiles comerciales y poseen un saldo de crédito meta publicitario favorable.
El objetivo final de esta campaña generalizada de ataque de malware es permitir la adquisición no autorizada de cuentas corporativas de Facebook. La atención se centra en las personas de Vietnam que gestionan los perfiles de Facebook de empresas y organizaciones destacadas. Una vez comprometidas con éxito, estas cuentas de Facebook incautadas se convierten en herramientas para los actores de amenazas detrás de la operación. Utilizan estas cuentas para difundir contenido político o promover el phishing y estafas de afiliados, con el objetivo final de obtener ganancias financieras.
Tabla de contenido
El ladrón de VietCredCare se ofrece a la venta a otros ciberdelincuentes
VietCredCare opera como un ladrón como servicio (SaaS) y su disponibilidad se extiende a los aspirantes a ciberdelincuentes. Los anuncios de este servicio se pueden encontrar en varias plataformas, incluidas Facebook, YouTube y Telegram. Se cree que la operación está supervisada por personas que dominan el idioma vietnamita.
Los clientes potenciales pueden elegir entre comprar acceso a una botnet administrada por los desarrolladores del malware o adquirir el código fuente para uso personal o reventa. Además, los clientes reciben un bot de Telegram personalizado diseñado para manejar la extracción y entrega de credenciales de dispositivos infectados.
Este malware, construido sobre el marco .NET, se difunde a través de enlaces compartidos en publicaciones de redes sociales y plataformas de mensajería instantánea. Se disfraza inteligentemente de software legítimo, como Microsoft Office o Acrobat Reader, engañando a los usuarios para que, sin saberlo, instalen contenido malicioso de sitios web engañosos.
El ladrón de VietCredCare podría comprometer datos confidenciales
VietCredCare Stealer se distingue del resto de amenazas de malware ladrón por su característica destacada de extraer credenciales, cookies e ID de sesión de navegadores web conocidos como Google Chrome, Microsoft Edge y Cốc Cốc, lo que subraya su enfoque en el contexto vietnamita.
Más allá de esto, va un paso más allá al recuperar la dirección IP de la víctima, discernir si una cuenta de Facebook está asociada con un perfil comercial y evaluar si la cuenta actualmente administra algún anuncio. Al mismo tiempo, emplea tácticas de evasión para evitar la detección, como deshabilitar la interfaz de escaneo antimalware de Windows (AMSI) y agregarse a la lista de exclusión del antivirus de Windows Defender.
La funcionalidad principal de VietCredCare, en particular su capacidad para filtrar las credenciales de Facebook, plantea un riesgo significativo para las organizaciones tanto del sector público como del privado. Si cuentas confidenciales se ven comprometidas, puede tener graves consecuencias financieras y de reputación. Los objetivos de este malware ladrón incluyen credenciales de varias entidades, incluidas agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas.
Varias amenazas de ladrones han surgido de grupos cibercriminales vietnamitas
VietCredCare se une a las filas de malware ladrón que se origina en el ecosistema cibercriminal vietnamita, junto con sus predecesores como Ducktail y NodeStealer, todos diseñados específicamente para atacar cuentas de Facebook.
A pesar de su origen compartido, los expertos aún tienen que establecer un vínculo concreto entre estas diversas cepas de ladrones. Ducktail exhibe funciones distintas y, si bien existen algunas similitudes con NodeStealer, este último diverge al emplear un servidor de comando y control (C2) en lugar de Telegram, con diferencias en los perfiles de sus víctimas objetivo.
Sin embargo, el modelo de negocio SaaS ofrece una vía para que los actores de amenazas con experiencia técnica mínima participen en delitos cibernéticos. Esta accesibilidad contribuye a un aumento del número de víctimas inocentes que son víctimas de actividades tan nocivas.
