Mã độc đánh cắp thông tin mang tên VietCredCare đã nhắm vào các nhà quảng cáo Facebook tại Việt Nam ít nhất từ tháng 8/2022.

ma%20doc.png
Mã độc đánh cắp thông tin VietCredCare đã nhắm vào các nhà quảng cáo Facebook tại Việt Nam.

Theo Hackernews, phần mềm đánh cắp thông tin VietCredCare được chú ý bởi khả năng tự động lọc cookie phiên Facebook và thông tin xác thực đánh cắp từ các thiết bị bị xâm phạm, đồng thời đánh giá xem các tài hoản này có phải là doanh nghiệp và quản lý quỹ quảng cáo Facebook hay không. Mục đích cuối cùng của chiến dịch phân phối phần mềm độc hại quy mô lớn này là chiếm quyền kiểm soát các tài khoản Facebook của doanh nghiệp bằng cách nhắm vào những cá nhân Việt Nam quản lý hồ sơ Facebook của các doanh nghiệp và tổ chức lớn.

Những tài khoản Facebook bị chiếm đoạt sau đó được những kẻ tấn công sử dụng để đăng tải nội dung chính trị hoặc lan truyền lừa đảo, gian lận nhằm thu lợi bất chính.

Mã độc VietCredCare đánh cắp thông tin đăng nhập Facebook, được những kẻ tấn công chào bán theo mô hình stealer-as-a-service (tạm dịch dịch vụ ăn cắp thông tin) và được quảng cáo trên Facebook, YouTube và Telegram. Nhóm phát triển được cho là những cá nhân nói tiếng Việt.

Khách hàng có thể mua quyền truy cập vào botnet do chính kẻ phát triển quản lý, hoặc mua mã nguồn để bán lại hoặc sử dụng cá nhân. Họ cũng được cung cấp một bot Telegram riêng để quản lý quá trình lấy trộm và chuyển giao thông tin đăng nhập từ thiết bị bị nhiễm.

Phần mềm độc hại này được xây dựng trên nền tảng .NET và được phân phối thông qua các liên kết đến các trang web giả mạo trên mạng xã hội và nền tảng nhắn tin, giả dạng thành các phần mềm hợp pháp như Microsoft Office hoặc Acrobat Reader để đánh lừa người dùng cài đặt.

Một điểm thu hút chính của VietCredCare là khả năng trích xuất thông tin đăng nhập, cookie và ID phiên từ các trình duyệt web như Google Chrome, Microsoft Edge và Cốc Cốc, cho thấy nó tập trung vào thị trường Việt Nam.

ma%20doc%20vc.png
Mã độc đánh cắp thông tin này chào bán theo mô hình stealer-as-a-service.

Ngoài ra, phần mềm độc hại này còn có thể thu thập địa chỉ IP của nạn nhân, kiểm tra xem tài khoản Facebook có phải là hồ sơ doanh nghiệp hay không, đồng thời đánh giá xem tài khoản đó có đang quản lý bất kỳ quảng cáo nào hay không. Đáng lo ngại, nó cũng thực hiện các hành động để tránh bị phát hiện bằng cách vô hiệu hóa Giao diện Quét Chống phần mềm độc hại của Windows (AMSI) và tự thêm mình vào danh sách loại trừ của Windows Defender Antivirus.

Vesta Matveeva, Trưởng phòng Điều tra tội phạm công nghệ cao tại APAC cho biết VietCredCare sẽ lọc thông tin đăng nhập Facebook, khiến các tổ chức ở cả khu vực công và tư có nguy cơ thiệt hại về uy tín và tài chính nếu tài khoản nhạy cảm của họ bị xâm phạm”. Được biết, VietCredCare đã đánh cắp thông tin đăng nhập từ nhiều cơ quan chính phủ, trường đại học, nền tảng thương mại điện tử, ngân hàng và các công ty Việt Nam.

VietCredCare là thành viên mới nhất trong danh sách dài các phần mềm độc hại ăn cắp thông tin, như Ducktail và NodeStealer, xuất phát từ hệ sinh thái tội phạm mạng ở Việt Nam với mục tiêu nhắm vào tài khoản Facebook. Tuy nhiên, Group-IB cho biết hiện tại không có bằng chứng cho thấy mối liên hệ giữa VietCredCare và các phần mềm độc hại khác.

(Theo Hackernews)