Group-IB , l'un des principaux créateurs de technologies de cybersécurité destinées à enquêter, prévenir et combattre la criminalité numérique, a publié aujourd'hui un nouvel article de blog  détaillant sa découverte d'un nouveau voleur d'informations ciblant les utilisateurs au Vietnam. Le malware, nommé VietCredCare par l'unité High-Tech Crime Investigation  du Group-IB , est actif depuis au moins août 2022 et se distingue par sa capacité à filtrer automatiquement les cookies de session Facebook et informations d'identification volés sur des appareils compromis, et évaluez si ces comptes gèrent des profils d'entreprise et s'ils maintiennent un solde de crédit publicitaire Meta positif .

En s'emparant des comptes Facebook professionnels , les cybercriminels peuvent soit publier du contenu politique visant à façonner l'opinion publique, soit exploiter ces profils à diverses fins financières, telles que le phishing et les escroqueries par affiliation, la redirection malveillante du trafic Web ou la vente d'identifiants volés. Les développeurs du malware le proposent à d'autres cybercriminels sous le nom de Modèle de vol en tant que service.
 

Au cours de leurs recherches, les experts du Groupe-IB ont découvert qu'il y avait des victimes de VietCredCare situées dans 44 des 63 provinces du Vietnam , avec la plus forte concentration d'appareils compromis située à Hanoï (51 % des victimes) et à Ho Chi Minh-Ville (33 % ) et Da Nang (3%) .

Outre les identifiants et mots de passe Facebook, les journaux exfiltrés par VietCredCare contenaient les informations d'identification de neuf agences gouvernementales vietnamiennes , des portails nationaux de service public de 12 villes ou provinces , de 65 universités , de 4 plateformes de commerce électronique , de 21 banques et de 12 grandes entreprises vietnamiennes.

Group-IB a envoyé des notifications aux organisations concernées et ces conclusions ont également été partagées avec les autorités vietnamiennes chargées de l'application des lois. afin de les soutenir dans leurs efforts visant à atténuer cette menace, conformément à la politique de tolérance zéro de l'entreprise à l'égard de la cybercriminalité.

 

VietCredCare est entièrement géré selon le modèle Stealer-as-a-Service. Le voleur d'informations est annoncé non seulement sur le dark web, mais aussi sur Facebook, YouTube et d'autres sites de médias sociaux auprès de cybercriminels potentiels cherchant à lancer leurs propres attaques.

Les enquêteurs du Group-IB ont découvert que les cybercriminels peuvent soit acheter l'accès à un botnet géré par les développeurs du malware, soit obtenir l'accès au code source pour le revendre ou pour un usage personnel. Les cybercriminels qui achètent VietCredCare ont accès à un robot Telegram sur mesure chargé de gérer l'exfiltration et la délivrance des informations d'identification d'un appareil volé. Plus de 20 robots Telegram distincts liés à VietCredCare ont été découverts par les enquêteurs du Groupe-IB.

Les cybercriminels qui ont acheté VietCredCare atteignent leurs victimes potentielles par le biais d'attaques de phishing pour tenter d'amener les internautes à télécharger et ouvrir involontairement VietCredCare sur leur appareil. Le contenu de ces sites de phishing, qui sont distribués via des publications sur les réseaux sociaux et des plateformes de messagerie instantanée, comprend fréquemment des offres de téléchargement de logiciels ou de fichiers légitimes, et la charge utile téléchargeable est souvent maquillée comme un fichier inoffensif , en utilisant par exemple des icônes ou des noms de fichiers tout aussi légitimes. : un fichier avec une icône similaire à Acrobat Reader (PDF) .

 

Parmi ses tactiques d'évasion, VietCredCare est capable de s'ajouter à la liste d'exclusion de Windows Defender et de désactiver la fonctionnalité AMSI . D'autres fonctionnalités notables de VietCredCare incluent la possibilité d'identifier les comptes Facebook et d'évaluer s'il s'agit de profils professionnels et si le compte a un solde de crédit publicitaire Meta positif et diffuse également des publicités en direct. Le voleur d'informations peut également identifier le chemin du dossier avec le profil du navigateur afin d'exfiltrer les cookies et les données de connexion, et dispose d'une fonctionnalité pour exfiltrer depuis Chrome , Chromium , MS Edge et Cốc Cốc. Les informations de connexion et les données des cookies sont envoyées aux opérateurs du malware dans leur canal de robot Telegram sur mesure dans deux fichiers .txt distincts . Un message indiquant si l'utilisateur fait de la publicité sur Facebook est également fourni.

« VietCredCare est un logiciel malveillant sophistiqué distribué selon le modèle Stealer-as-a-Service. L'étude du Group-IB a révélé un réseau complexe de connexions entre les développeurs, les acheteurs et les victimes du malware, et le malware continue d'être promu au sein de la communauté cybercriminelle vietnamienne. La fonctionnalité principale de VietCredCare pour filtrer les informations d'identification de Facebook expose les organisations des secteurs public et privé à un risque de dommages à la réputation et financiers si leurs comptes sensibles sont compromis, et nous exhortons les utilisateurs à s'assurer qu'ils activent l'authentification à deux facteurs sur leurs comptes de réseaux sociaux et à éviter en cliquant sur des liens non fiables », a déclaré Vesta Matveeva, responsable du département d'enquête sur les crimes de haute technologie du Groupe-IB, APAC .