VietCredCare信息窃取程序正对越南企业发起攻击

介绍

2022 年 10 月，越南一家领先银行的一名员工通过当地广泛使用的通讯工具Zalo收到了欺骗性链接。单击该链接后，恶意 .zip 文件就会下载到他们的设备上，这随后会危及受害者网络浏览器中存储的敏感信息。

收到这一事件的信息后，Group-IB 专家立即采取行动。首先，我们的威胁情报研究人员立即分析了恶意软件样本。一旦得出初步结果，IB 组的高科技犯罪调查该部门加入了战斗，开始对该恶意软件进行广泛调查。通过分析，发现了更多样本，这将揭示与先前未知的信息窃取者有关的大规模分发计划。

信息窃取程序是一种恶意软件，旨在秘密渗透计算机系统，捕获银行卡详细信息、加密钱包凭证、cookie 和网络浏览器的浏览历史记录等敏感信息，然后将此数据发送给恶意软件的操作者。在本例中，信息窃取者被发现专门针对越南用户。因此，该信息窃取者至少自2022 年 8 月起就一直活跃，Group-IB 已将其代号为VietCredCare。

图 1. VietCredCare 资料

Group-IB 调查人员在分析过程中发现 Windows 操作系统的多个不同 VietCredCare 样本具有相似的功能和源代码，这表明该恶意软件的开发人员正在不断更新其功能。根据 Group-IB 的调查结果，威胁行为者利用 VietCredCare 的主要目标是完成对企业 Facebook 帐户的接管，因为窃取者具有自动过滤该服务凭据的功能。

我们的分析表明，大量著名的越南公共和私营部门组织面临受到损害的风险。Group-IB 发现 VietCredCare 泄露了9 个越南政府机构、12 个省市的国家公共服务门户、65所大学、4 个电子商务平台、21 家银行、12 家越南主要企业以及大量用户的凭据。个人和企业社交媒体帐户，Group-IB 向受影响的组织发出通知。

越南 63 个省份中，有 44 个省份发现了受害组织，这表明盗窃者在全国范围内广泛传播。根据公司对网络犯罪的零容忍政策，Group-IB 与越南执法当局分享了其调查结果。

主要发现

VietCredCare 是一种以前不为人知的信息窃取程序，至少自 2022 年 8 月以来一直在流通。

该信息窃取程序以窃取程序即服务模式分发，很可能由讲越南语的个人管理。

Group-IB 在越南 63 个省中的44 个省发现了 VietCredCare 的个体受害者。

受害者人数最多的地区是河内（占受害者的 51%）、 胡志明市（33%）和岘港（3%）。

VietCredCare 之所以引人注目，是因为它能够自动过滤掉Facebook 帐户的会话 cookie和凭据，并标记这些帐户是否正在管理广告并具有正的元广告信用余额。

VietCredCare 主要针对越南的个人，核心目标是管理知名企业和组织资料的个人。

威胁行为者可以利用拥有大量追随者的 Facebook 帐户来发布政治内容，或者通过网络钓鱼和联盟诈骗、恶意重定向网络流量以及出售被盗凭证来获取经济利益。

我们推测 VietCredCare 是通过网络钓鱼网站传播的，这些网站通过社交媒体帖子和消息平台进行分享。这些网站声称提供合法软件的下载，攻击者利用 Excel、Word、Acrobat Reader 等软件的名称和图标来伪装有效负载，以欺骗用户。

希望利用 VietCredCare 的威胁行为者可以购买由恶意软件开发人员管理的僵尸网络的访问权限，或者获取源代码供个人使用或转售。

每个购买 VietCredCare 访问权限的威胁行为者都可以访问自己的 Telegram 机器人通道，该通道处理被盗数据的渗透和传递，以及与恶意软件开发人员的通信。Group-IB在研究过程中发现了20 多个单独的 Telegram 机器人频道。

元是什么？显着的功能

Group-IB 研究人员对 VietCredCare 信息窃取器的一项功能特别感兴趣。我们发现 VietCredCare 会自动过滤掉来自 Facebook.com 的所有凭据和会话 cookie，并特别标记当前正在运行广告且元广告积分（用于在 Facebook 上发布广告的货币）余额为正的Facebook帐户。

Group-IB 专家认为，此功能的存在是为了帮助威胁行为者接管属于知名企业和组织的 Facebook 个人资料，这些企业和组织的庞大用户群可能成为旨在塑造公众舆论或出于经济动机的网络钓鱼攻击的政治导向帖子的大量受众。、其他诈骗，或将泄露的凭据出售给其他网络犯罪分子。因此，虽然信息窃取程序可以不加区别地针对个人，但利用 VietCredCare 的威胁行为者的核心目标似乎是感染管理重要商业页面 Facebook 个人资料的个人的设备，以便接管它们。

此外，VietCredCare 的操作员使用Telegram Bot功能从受感染的设备中窃取受损数据。截至 2023 年 7 月，Group-IB 调查人员已发现 20 多个与 VietCredCare 相关的独立 Telegram 机器人，每个购买了信息窃取程序访问权限的威胁参与者都可以访问自己独特的机器人通道。

与许多信息窃取程序一样，VietCredcare 是在窃取程序即服务模式下提供的，这意味着开发人员可以向其他网络犯罪分子提供恶意软件，以便在地下网络犯罪分子中出租或购买。

购买恶意软件的人会使用网络钓鱼攻击，试图让受害者在不知情的情况下在其设备上下载并打开 VietCredCare。Group-IB 研究人员发现，网络钓鱼网站的内容包括下载合法软件或文件的优惠。

这种策略经常扩展到网络钓鱼网站上托管的实际文件，因为威胁行为者经常使用图标和文件名称将恶意软件伪装成 Excel、Word、Acrobat Reader 等合法软件，从而使潜在的攻击变得更加困难受害者发现该文件是恶意的。网络钓鱼网站或恶意文件可以通过 Facebook 帖子、使用威胁行为者接管的帐户或通过 Facebook Messenger、WhatsApp 和 Zalo 等消息传递平台进行分发。

越南信用关怀结构

VietCredCare 的窃取者即服务活动影响了三个不同的群体：恶意软件的开发者及其广告商、用户（购买者）以及无意中下载该软件的受害者。让我们更详细地了解每个组：

图2. Vietnam Stealer活动的分配方案

盗窃者的开发商和广告商

该组是指开发信息窃取程序、创建其组件、管理旨在接收数据的 Telegram 机器人以及将窃取程序（作为加载程序）分发给买家的个人。Group-IB 研究人员还发现，该信息窃取者的大量广告不仅出现在暗网上，还出现在YouTube和Facebook等知名公共网站上。

偷窃者的买家

该群体是指获取信息窃取程序然后利用它来攻击受害者的个人。这是通过托管有效负载来完成的，买家通过先进的网络钓鱼策略试图让受害者下载到他们的设备上。一旦窃取者进入设备并完成渗透，买家就可以访问受害者的凭据和 cookie，其中来自 Facebook 的凭据和 cookie 最为重要。窃取者的每个买家都可以访问由威胁行为者专门配置的自己独特的 Telegram 机器人通道。

窃取者的买家可能会采取多种手段来接管合法企业和组织的 Facebook 帐户。他们可以使用这些帐户传播错误信息或在网上塑造公众看法。或者，他们可以有更多的经济动机目标，通过利用拥有大量关注者的帐户来开展网络钓鱼活动、假冒产品销售、联属诈骗、尝试将流量引导至特定网站以获取广告收入，或出售被盗的凭据如下图 3 所示。

图 3. 个人在 Telegram 中发布的广告示例，声称出售使用 VietCredCare 信息窃取程序获取的被盗 cookie广告翻译：“从僵尸网络出售数据包括：“扫描”（Facebook Business Manager 帐户）、“通过”- 经过验证的信息帐户，具有来自 Google、Amazon、Ebay 的完整数据库……所有国家/地区，至少出售 100 个，谁不这样做？不知道如何通过使用 UltraViewer、我的 Telegram 或 Facebook 来向我寻求指导”

寻找买家：窃取者即服务

在研究过程中，Group-IB 研究人员发现 Facebook 上发布了多个越南语广告，向想要参与网络犯罪活动的潜在买家宣传 VietCredCare。下面发布了一个这样的例子。

图 4. 在 Facebook 上发布的 VietCredCare 广告示例（越南语原文加翻译）

VietCredCare 广告还出现在几个著名的越南语 Telegram 频道中，如下图 5 所示。

图 5. 2023 年 7 月在 Telegram 上发布的 VietCredCare 广告示例（越南语原文和翻译）

在上面的两篇文章中，广告商提供了对1MB C# 可执行文件的访问，该文件旨在逃避防病毒和防火墙保护。恶意软件还能够伪装成任何合法应用程序，以增加受害者检测到恶意软件的可能性。广告中列出的恶意软件的其他突出功能包括：能够窃取受害者浏览器中存储的 cookie 和密码，以及能够绕过 Facebook 的双因素身份验证系统(2FA)。这些过程完成后，启动 VietCredCare 的威胁行为者将留下两个 .txt 文件：一个包含 cookie，另一个包含密码。

Group-IB 研究人员发现，有超过 20 个威胁行为者在攻击中利用了相同的 VietCredCare 样本。我们还发现了一个有趣的案例，其中一位买家试图进一步修改窃取恶意软件，尽管我们将在不久的将来分享我们对此案例的发现。

偷偷摸摸的窃取者：分析有效负载

适用于 Windows 操作系统的 VietCredCare 信息窃取程序采用.NET开发，通过欺骗用户运行伪装成合法软件的文件（有效负载）来进行操作。下面演示了此功能的示例。

图 6. 展示了 VietCredCare 将自身伪装成合法 PDF 文件的能力，如广告恶意软件的 YouTube 视频所示。

VietCredCare 信息窃取程序的变体在使用Group-IB扫描期间被标记为恶意软件托管XDR的恶意软件爆炸平台，在虚拟环境中运行可疑文件和链接，以安全地监控恶意活动和攻击场景。此外，该平台还生成全面的爆炸报告，帮助分析人员查明感染源并掌握窃取者的特征。

图 7. 引爆和分析恶意档案的结果。来源：Group-IB 托管 XDR 接口

执行后，VietCredCare 巧妙地在%STARTUP%文件夹中创建一个名为“ crsysys.exe ”的自我复制副本。值得注意的是，该信息窃取程序无需通过命令与控制 (C2) 服务器进行任何输入即可启动有效负载的运行。

图 8. 确保有效负载在目标系统中的持久性。来源：Group-IB 托管 XDR 接口

Group-IB 恶意软件 Detonation 平台生成的报告还包含在执行和分析 VietCredCare 窃取程序期间获得的大量有价值的行为见解。其主要功能之一是能够从全球流行的浏览器（例如Chrome、Chromium和MS Edge）以及越南特定的Cốc​​ Cốc 中提取数据。

从受感染设备窃取的所有数据都会被谨慎地发送到 Telegram 机器人，威胁行为者可以从那里访问这些数据。在研究过程中，Group-IB 专家发现了20 多个独立的 Telegram 机器人，它们利用了聊天工具的API功能，用于此目的。

该活动中使用的策略和技术如下所示 MITRE ATT&CK 矩阵：

图 9.MITRE ATT&CK 矩阵。来源：Group-IB 托管 XDR 接口

如上所述，VietCredCare 能够从受感染设备的浏览器窃取会话 ID、cookie 和密码等数据，但它还有其他一些值得进一步探索的有趣功能，例如：

使用外部资源检索受害者的 IP 地址

这是通过向hxxps://ipinfo[.]io/ip发送 HTTP 请求来完成的

图 10.VietCredCare 网络活动。来源：Group-IB 托管 XDR 接口

识别 Facebook 帐户以及它们是否是企业资料

图 11.VietCredCare Facebook 检查活动。来源：Group-IB 托管 XDR 接口

如果 VietCredCare 发现 Facebook 中的浏览器会话仍在进行中，则恶意软件能够通过使用自定义代理执行 HTTP 请求来评估它是否是企业帐户：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36

一旦执行对hxxps://business[.]facebook[.]com/content_management/ 的请求，访问令牌和有关托管组的信息以及帐户的元广告积分余额将从该页面提取并发送到Telegram 机器人，以便威胁行为者可以访问。

使用浏览器配置文件识别文件夹路径并窃取 cookie 和登录数据

根据 Group-IB Managed XDR 的 VietCredCare 样本恶意软件爆炸报告，凭证访问可以演示如下：

图 12. VietCredCare 如何访问 cookie 文件（以 Chrome 为例）。来源：Group-IB 管理的 XDR 恶意软件爆炸报告

同样，源代码还揭示了从以下文件路径中窃取数据的能力，对应于每个不同的浏览器。

Cốc Cốc: *%AppData%LocalCocCocBrowserUser Data*
Chrome: %AppData%LocalGoogleChromeUser Data
Chromium: %AppData%LocalChromiumUser DataUser Data
Edge: LocalMicrosoftEdgeUser Data

评估 Facebook 帐户是否管理任何广告

VietCredCare 最显着的功能是能够评估 Facebook 帐户当前是否正在管理任何广告。这是通过 Telegram 机器人发布的消息传达给威胁行为者的，如下所示。

%IP%
Đã kiểm tra tài khoản quảng cáo xong
số lượng quảng cáo = 0 + %FACEBOOK_DATA%.
(Translation: 
%IP%
Checking Facebook Ads account has been checkedNumber of ads = 0 + %FACEBOOK_DATA%)

如上述消息所示，VietCredCare 进行的“检查”包括评估帐户是否具有正元广告信用余额。

躲避战术

在大多数情况下，VietCredCare 在分发之前会被打包。因此，一旦它在受害者的设备上启动，它不仅会执行信息窃取程序，还会执行以下规避技术：

将自身添加到Windows Defender的排除列表

禁用AMSI功能

Group-IB 研究人员指出，VietCredCare 的第一个样本于 2022 年 8 月发现。我们断言，目前该信息窃取程序仍在继续开发，并且仍在 Telegram 和其他平台上积极推广。

数据处理程序：VietCredCare 的 Telegram 机器人

VietCredCare 的 Telegram 机器人功能在数据泄露过程中发挥着至关重要的作用。该机器人的主要功能除了通知窃取者日志中是否存在 Facebook 帐户凭据外，还包括接收被盗数据。该数据被转换为两个文本文件 ( .txt )，其中包含来自受感染设备的 cookie 和密码。该机器人还管理恶意软件开发者和购买者之间的通信。

在数据泄露过程中，威胁行为者首先收到一条消息，通知日志中存在的 Facebook 帐户数量（如上所述）。

然后，威胁行为者会收到第二条消息，其中包含 .txt 文件的附件，其中包含从受感染设备中窃取的浏览器 cookie。这些文件具有命名约定：

%COMPUTERNAME% +“--COOKIES-.txt”

该线程中的最后一条消息包含从受感染设备的浏览器中窃取的泄露密码。这也以 .txt 文件形式发送，命名模式为：

%COMPUTERNAME% + "--PASS-.txt"

图 13. 包含 VietCredCare 从受感染设备的浏览器中窃取的凭据的 .txt 文件示例

此工作流程通过上传到 YouTube 的多个广告视频以及 Facebook 上的帖子向潜在的 VietCredCare 客户进行了宣传（参见下图 14）。广告是越南语的。

图 14.1.Facebook 上发布的广告详细介绍了 VietCredCare 的 Telegram 机器人工作流程

图 14.2.YouTube 视频广告 VietCredCare 的屏幕截图，展示了如何向买家提供受害者凭证的示例

图 14.3.YouTube 视频广告 VietCredCare 的屏幕截图，展示了如何向买家提供受害者凭证的示例

越南小偷？

鉴于越南语文本不仅出现在 Telegram 机器人通信中，还出现在向潜在买家宣传信息窃取者的社交媒体帖子和视频中，Group-IB 调查人员得出的结论是，讲越南语的个人可能对这两起事件负有责任。 VietCredCare 的创建和发展。讲越南语的个人也很可能是该恶意软件的主要购买者。

大多数受害者（设备感染了 VietCredCare 且凭证被泄露的个人）也来自越南。

Group-IB 专家能够分析 VietCredCare 在越南遭受攻击的地理范围，揭示了来自越南 63 个省份中 44 个省份的受害者 IP 地址。这些受害者集中在该国的主要城市，如图 15（下图）所示。超过一半的受害者拥有河内的 IP 地址，还有三分之一的 IP 地址将他们链接到胡志明市。

所有这些信息使 Group-IB 调查人员得出结论，VietCredCare 主要针对越南境内的个人，主要目标是管理该国知名企业和组织资料的个人。

图 15. 按 IP 地址划分的 VietCredCare 受害者列表

结论

代号为 VietCredCare 的信息窃取程序是一种复杂的恶意软件，在窃取程序即服务商业模式下提供。IB组高科技犯罪调查该部门的详细研究揭示了恶意软件开发者、购买者和受害者之间复杂的联系网络。VietCredCare 仍在越南网络犯罪黑社会中积极推广，这意味着信息窃取者仍有可能在未来几个月构成威胁。

VietCredCare 的核心功能——获取和窃取 cookie 和凭证——给越南公共和私营部门的组织带来了严重风险。信息窃取者能够自动过滤 Facebook 帐户数据并检查元广告信用，从而简化了网络犯罪分子的任务，他们寻找一种简单的方法来接管拥有大量受众的 Facebook 帐户，以实施其政治或经济动机的计划。

帐户接管，特别是如果网络犯罪分子以合法组织的名义发布帖子，会给公司带来严重的声誉和财务风险。因此，Group-IB 调查人员向越南执法机构通报了他们的调查结果，作为我们打击一切形式网络犯罪承诺的一部分。

正如我们将在不久的将来披露的那样，VietCredCare 只是针对越南用户的众多信息窃取者之一，因此风险非常严重。

窃取者即服务业务模式使几乎没有技术技能的威胁行为者能够进入网络犯罪领域，从而导致更多无辜受害者受到伤害。这就是为什么通过识别背后的参与者并拆除他们的服务来保护社会很重要。IB组高科技犯罪调查专家们随时准备协助执法机构和受攻击组织识别威胁行为者，即使是在最复杂的计划中。

建议

对于用户

请警惕通过聊天工具、社交网络或短信发送给您的欺骗性链接，尤其是来自可疑来源的链接。从您访问的网站下载任何文件之前，请务必验证其来源和可靠性。我们敦促用户避免从未经验证的网站或第三方网站下载任何文件。

通过防病毒或防病毒检测在线服务，在公开可用的沙箱上检查从未经授权来源收到的可执行文件。

如果您发现自己已受到威胁，请从活动会话中注销、从其他设备更改密码、启用 2FA、监控帐户是否存在可疑活动，并向公司信息安全团队报告。

对组织的建议

为了增强网络安全弹性，鼓励企业利用 Group-IB 的托管XDR加上威胁情报。这些解决方案使组织能够：

深入了解可疑文件：深入了解可疑文件，确定它们是否表现出任何恶意行为。使用先进的恶意软件引爆技术覆盖基础设施中的所有文件，以分析它们及其行为。至少监控您的电子邮件通道至关重要，但也建议覆盖端点和网络流量文件，以及共享文件夹和资源、Messenger（Slack、Teams 等）。

验证可疑 URL：使用托管 XDR 在访问电子邮件系统和端点和下载文件之前验证跨电子邮件系统和端点的可疑 URL，从而针对潜在威胁提供额外的防御层。

通过 EDR 获得对端点的可见性，以使用威胁情报、签名和行为分析以及具有实际爆炸的文件分析（而不仅仅是静态分析）来检测主机级别的攻击。

使用来自公共和私人来源的威胁情报跟踪泄露和受损的数据，不仅包括用户凭据，还包括受损的主机数据

了解威胁行为者的活动- 监控最近的攻击、暗网论坛和通讯工具，并通过 Group-IB 威胁情报了解威胁行为者的活动，以调整您的网络安全策略。

妥协指标：已发现样本的 SHA256 哈希值
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参考链接： https://www.group-ib.com/blog/vietcredcare-stealer/

图片来源网络目标可联系删除