信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專(zhuān)業(yè)版”，作者/山卡拉。

針對(duì)Facebook廣告商的新網(wǎng)絡(luò)安全威脅名為VietCredCare。該信息竊取程序至少自2022年8月起就一直活躍，旨在通過(guò)自動(dòng)過(guò)濾來(lái)自受感染設(shè)備的Facebook會(huì)話cookie和憑據(jù)來(lái)劫持企業(yè)Facebook帳戶(hù)。

該惡意軟件會(huì)評(píng)估被盜帳戶(hù)是否管理業(yè)務(wù)資料以及是否有Meta廣告信用余額。

VietCredCare如何運(yùn)作

VietCredCare通過(guò)社交媒體帖子和即時(shí)消息平臺(tái)上的虛假網(wǎng)站鏈接進(jìn)行分發(fā)，偽裝成Microsoft Office或Acrobat Reader等合法軟件。

Group-IB表示，安裝后，它可以從網(wǎng)絡(luò)瀏覽器中提取憑據(jù)、cookie和會(huì)話ID，包括Google Chrome、Microsoft Edge和C?c C?c（一款專(zhuān)注于越南市場(chǎng)的瀏覽器）。

該惡意軟件因其能夠檢索受害者的IP地址、檢查Facebook帳戶(hù)是否為企業(yè)資料以及評(píng)估該帳戶(hù)當(dāng)前是否管理廣告而聞名。

它還采取措施通過(guò)禁用Windows反惡意軟件掃描接口(AMSI)并將自身添加到Windows Defender防病毒排除列表來(lái)逃避檢測(cè)。

報(bào)告稱(chēng)，VietCredCare的核心功能是過(guò)濾Facebook憑據(jù)，如果敏感帳戶(hù)遭到泄露，將面臨聲譽(yù)和財(cái)務(wù)損失的風(fēng)險(xiǎn)。

多個(gè)政府機(jī)構(gòu)、大學(xué)、電子商務(wù)平臺(tái)、銀行和越南公司的憑證已遭惡意軟件竊取。

威脅分子使用被盜的Facebook帳戶(hù)發(fā)布政治內(nèi)容或傳播網(wǎng)絡(luò)釣魚(yú)和附屬詐騙以獲取經(jīng)濟(jì)利益。

這種大規(guī)模惡意軟件分發(fā)計(jì)劃有助于接管企業(yè)Facebook帳戶(hù)，目標(biāo)是管理知名企業(yè)和組織Facebook個(gè)人資料的越南個(gè)人。

竊取者即服務(wù)模型

VietCredCare在服務(wù)模式下向其他網(wǎng)絡(luò)犯罪分子提供，并在Facebook、YouTube和Telegram上做廣告。

客戶(hù)可以購(gòu)買(mǎi)由惡意軟件開(kāi)發(fā)人員管理的僵尸網(wǎng)絡(luò)的訪問(wèn)權(quán)限，或獲取源代碼的訪問(wèn)權(quán)限以供轉(zhuǎn)售或個(gè)人使用。

他們還獲得了一個(gè)定制的Telegram機(jī)器人來(lái)控制受感染設(shè)備的憑據(jù)泄露和傳遞。

防范VietCredCare

用戶(hù)必須保持警惕，并針對(duì)基于惡意軟件的攻擊采取預(yù)防措施。這包括定期軟件更新、防病毒軟件的使用和強(qiáng)密碼。單擊鏈接或從未知來(lái)源下載附件時(shí)務(wù)必謹(jǐn)慎，因?yàn)檫@些附件可能包含VietCredCare等惡意軟件。

總之，VietCredCare是一種復(fù)雜的惡意軟件，嚴(yán)重威脅了企業(yè)及企業(yè)形象，增強(qiáng)網(wǎng)絡(luò)安全措施必不可少。