Các nhà quảng cáo trên Facebook tại Việt Nam đang là mục tiêu nhắm tới của mã độc đánh cắp thông tin hoàn toàn mới có tên VietCredCare, ít nhất kể từ tháng 8/2022.
Mã độc gây chú ý với khả năng tự động lọc cookie phiên Facebook và thông tin xác thực đánh cắp từ các thiết bị xâm nhập, đồng thời đánh giá xem các tài khoản có phải tài khoản doanh nghiệp hay không, có quỹ quảng cáo hay không. Mục đích là tạo điều kiện thuận lợi cho việc chiếm đoạt tài khoản Facebook doanh nghiệp, thông qua việc nhắm vào các cá nhân Việt Nam quản lý hồ sơ Facebook của doanh nghiệp và tổ chức lớn.
Các tài khoản Facebook chiếm đoạt được sau đó sẽ bị hacker sử dụng để đăng nội dung tuyên truyền liên quan chính trị hoặc để lừa đảo thu lợi tài chính.
VietCredCare cung cấp theo dạng stealer-as-a-service và được quảng cáo trên Facebook, YouTube và Telegram. Mã độc được cho là do các cá nhân nói tiếng Việt quản lý.
VietCredCare dựa trên .NET, phát tán thông qua các link dẫn đến các trang web giả mạo từ các bài đăng trên mạng xã hội và nền tảng nhắn tin. Mã độc giả dạng phần mềm hợp pháp như Microsoft Office hoặc Acrobat Reader để lừa người dùng cài đặt.
Một trong những điểm nổi bật của VietCredCare là khả năng trích xuất thông tin xác thực, cookie và ID phiên từ các trình duyệt web như Google Chrome, Microsoft Edge và Cốc Cốc (cho thấy trọng tâm nhắm tới là người dùng nói tiếng Việt).
Vesta Matveeva, người đứng đầu Cục Điều tra Tội phạm Công nghệ cao khu vực Châu Á Thái Bình Dương, cho biết: “Chức năng chính của VietCredCare là lọc thông tin đăng nhập Facebook. Mã độc có thể khiến các tổ chức ở cả lĩnh vực công và tư nhân đứng trước nguy cơ thiệt hại về danh tiếng và tài chính nếu tài khoản của họ bị xâm nhập”.
Thông tin xác thực của một số cơ quan chính phủ, trường đại học, nền tảng thương mại điện tử, ngân hàng và các công ty Việt Nam đã bị đánh cắp bởi mã độc này.
VietCredCare là ‘thành viên’ mới nhất trong danh sách các mã độc đánh cắp thông tin có nguồn gốc từ hệ sinh thái tội phạm mạng Việt Nam nhắm mục tiêu vào các tài khoản Facebook, tiếp sau Ducktail và NodeStealer.
Tuy nhiên, các chuyên gia cho biết không có bằng chứng nào cho thấy mối liên hệ giữa VietCredCare và các chủng mã độc khác.
Nguồn: The Hacker News