Phát hiện mã độc đánh cắp tài khoản Facebook tại Việt Nam

- Mã độc VietCredCare là một loại mã độc chủ yếu nhằm vào các nhà cung cấp dịch vụ quảng cáo trên Facebook tại Việt Nam.

Mã độc VietCredCare bị phát hiện từ tháng 8 năm 2022, có khả năng lọc tự động các cookie và thông tin đăng nhập Facebook từ các thiết bị bị nhiễm mã độc. Đồng thời, mã độc này cũng kiểm tra được các tài khoản này có quản lý hồ sơ các doanh nghiệp và duy trì số dư tích cực trong tài khoản quảng cáo của Meta hay không.

Mục tiêu chính của chiến dịch sử dụng mã độc VietCredCare là chiếm đoạt các tài khoản Facebook của doanh nghiệp bằng cách nhằm vào người quản lý trang Facebook của các doanh nghiệp và tổ chức có tiếng tại Việt Nam. Đối tượng tấn công sẽ sử dụng tài khoản Facebook bị chiếm đoạt để đăng các bài viết có nội dung chính trị hoặc thực hiện lừa đảo tiếp thị nhằm trục lợi tài chính.

VietCredCare được quảng cáo và rao bán dưới dạng dịch vụ “stealer-as-a-service” trên các nền tảng như Facebook, Youtube và Telegram. Hiện tại, đã xác định rằng mã độc này đang được sử dụng bởi các cá nhân hoặc nhóm người Việt Nam.

Các khách hàng mua mã độc này có thể lựa chọn giao dịch quyền truy cập vào một botnet do nhà phát triển mã độc quản lý hoặc mua quyền truy cập vào mã nguồn để bán lại hoặc sử dụng mã độc cho mục đích cá nhân. Ngoài ra, các đối tượng mua mã độc này cũng được cung cấp một bot Telegram riêng để quản lý việc trích xuất và chuyển tiếp thông tin xác thực từ các thiết bị bị nhiễm mã độc.

VietCredCare là một loại mã độc được viết bằng .NET, được phát tán thông qua các liên kết lừa đảo trên mạng xã hội và các ứng dụng nhắn tin, thường được giả mạo dưới hình thức các phần mềm chính thống như Microsoft Office hoặc Acrobat Reader để đánh lừa người dùng cài đặt mã độc. Điểm nổi bật của mã độc này là khả năng trích xuất thông tin xác thực, cookies và ID phiên từ các trình duyệt web phổ biến tại Việt Nam như Google Chrome, Microsoft Edge và Cốc Cốc.

Ngoài ra, mã độc VietCredCare còn thu thập địa chỉ IP của người dùng và kiểm tra xem tài khoản Facebook của họ có phải là tài khoản doanh nghiệp không, đồng thời đánh giá xem tài khoản đó có đang chạy quảng cáo hay không. Để tránh bị phát hiện, mã độc tắt Windows Antimalware Scan Interface (AMSI) và tự thêm vào danh sách bỏ qua của Windows Defender Antivirus.

Hiện nay, các thông tin xác thực thuộc sở hữu của chính phủ, các trường đại học, các nền tảng thương mại điện tử, ngân hàng và các công ty tại Việt Nam đã bị trích xuất bằng mã độc này.

VietCredCare là mã độc mới nhất được thêm vào danh sách các mã độc đánh cắp thông tin tài khoản Facebook, có nguồn gốc từ Việt Nam, tương tự như Ducktail và NodeStealer. Tuy nhiên, hiện vẫn chưa có bằng chứng cụ thể nào cho thấy mối liên kết trực tiếp giữa VietCredCare và các mã độc cùng dòng này.