Group-IB, công ty sáng tạo hàng đầu về công nghệ an ninh mạng giúp điều tra, ngăn chặn và chống lại tội phạm kỹ thuật số, đã đăng một bài blog mới nói về việc phát hiện ra một mã độc mới chuyên đánh cắp thông tin (information stealer) nhắm vào người dùng ở Việt Nam.
Mã độc được đặt tên là VietCredCare bởi đơn vị Điều tra Tội phạm Công nghệ cao của Group-IB, được xác định là đã hoạt động ít nhất từ tháng 8/2022 và gây chú ý do có khả năng tự động lọc các phiên cookies Facebook và đánh cắp thông tin đăng nhập được lưu trên các thiết bị bị nhiễm, đồng thời đánh giá xem các tài khoản này có phải là tài khoản quản lý hồ sơ doanh nghiệp (Meta Business Portfolio) và liệu có đang sở hữu số dư tín dụng quảng cáo Meta (Meta ad credit balance) hay không.
Một khi đã chiếm được quyền truy cập vào các tài khoản Facebook của doanh nghiệp, các đối tượng tội phạm mạng có thể đăng các nội dung chính trị nhằm dẫn dắt ý kiến dư luận hoặc lợi dụng những tài khoản này cho các mục đích về lừa đảo tài chính hay tiếp thị liên kết, chuyển hướng lưu lượng truy cập web với mục đích xấu hoặc để rao bán thông tin đăng nhập đã bị đánh cắp. Những đối tượng tạo ra mã độc này sẽ cung cấp chúng cho các đối tượng tội phạm khác dưới dạng dịch vụ theo mô hình Stealer-as-a-Service.
Trong suốt quá trình nghiên cứu, các chuyên gia của Group-IB đã phát hiện rằng nạn nhân của VietCredCare trải dài khắp 44 trong số 63 tỉnh thành của Việt Nam, với số lượng thiết bị bị xâm nhập nhiều nhất là ở Hà Nội (51% nạn nhân), TP.HCM (33%) và Đà Nẵng (3%).
Ngoài thông tin đăng nhập và mật khẩu Facebook, bản ghi được VietCredCare trích xuất còn có chứa thông tin đăng nhập của 9 cơ quan chính phủ Việt Nam, Cổng Dịch vụ Công Quốc gia của 12 tỉnh hoặc thành phố, 65 trường đại học, 4 nền tảng thương mại điện tử, 21 ngân hàng và 12 doanh nghiệp lớn của Việt Nam.
Group-IB đã thông báo cho các tổ chức bị ảnh hưởng và những thông tin được phát hiện này cũng được chia sẻ với các cơ quan thực thi pháp luật của Việt Nam, tuân thủ đúng với tôn chỉ không khoan nhượng với tội phạm mạng..
Đánh cắp dưới dạng dịch vụ
VietCredCare được quản lý hoàn toàn mô hình Stealer-as-a-Service. Mã độc đánh cắp thông tin này không chỉ được quảng cáo trên Dark Web, mà còn cả trên Facebook, YouTube và các trang mạng xã hội khác hướng tới khách hàng là các đối tượng tội phạm tiềm năng có nhu cầu sử dụng để thực hiện tấn côngvới mục đích cá nhân..
Nhóm điều tra của Group-IB đã phát hiện các đối tượng tội phạm mạng có thể mua quyền truy cập vào một botnet được quản lý bởi những kẻ phát triển mã độc, hoặc mua quyền truy cập vào mã nguồn để bán lại hoặc sử dụng cho mục đích cá nhân. Các đối tượng tội phạm mạng sau khi mua VietCredCare sẽ được cấp quyền truy cập vào một bot Telegram riêng biệt, được thiết kế để quản lý việc trích xuất và thu thập dữ liệu đăng nhập từ thiết bị bị nhiễm. Hơn 20 bot Telegram riêng biệt liên kết với VietCredCare đã bị nhóm điều tra của Group-IB phát hiện.
Thu thập thông tin đăng nhập
Những đối tượng tội phạm mạng đã mua VietCredCare sẽ tiếp cận nạn nhân tiềm năng của mình thông qua các hành vi lừa đảo để cố gắng khiến người dùng tải về sau đó khởi chạy VietCredCare trên thiết bị của họ mà không hề hay biết.
Nội dung của các trang web lừa đảo này, được phát tán rộng rãi qua mạng xã hội và các nền tảng nhắn tin phổ biến, bằng cách hiển thị các đề xuất tải phần mềm hoặc têp tin được cho là hợp lệ chính thống, tuy nhiên têp tin thật sự mà người dùng tải xuống thường là một têp độc hại được ngụy trang dưới vỏ bọc của một tập tin vô hại (payload), bằng cách sử dụng icon hoặc tên có vẻ hợp pháp, chẳng hạn như một tệp tin với icon tương tự với Acrobat Reader PDF…
Trong số các chiến thuật ẩn mình của VietCredCare, mã độc có khả năng tự thêm chính nó vào danh sách loại trừ của Windows Defender và vô hiệu hóa chức năng AMSI. Các tính năng đáng chú ý khác của VietCredCare bao gồm khả năng xác định tài khoản Facebook để đánh giá xem đó có phải là tài khoản doanh nghiệp, đang còn số dư tín dụng quảng cáo Meta Ad Credit và có đang chạy quảng cáo trực tiếp hay không.
Mã độc đánh cắp thông tin này cũng có thể xác định các đường dẫn thư mục chứa hồ sơ của các trình duyệt để lọc ra cookies cùng các dữ liệu đăng nhập đã được lưu lại trên các trình duyệt phổ biến hiện nay như: Chrome, Chromium, MS Edge, và Cốc Cốc. Thông tin đăng nhập và dữ liệu cookies được gửi đến đối tượng điều hành mã độc qua một kênh TelegramBot riêng biệt dưới dạng hai tập tin .txt riêng biệt. Một thông báo về kết quả kiểm tra trạng thái chạy quảng cáo của tài khoản cũng sẽ được hiển thị..
%IP%
Đã kiểm tra tài khoản quảng cáo xong
số lượng quảng cáo = 0 + %FACEBOOK_DATA%.
Mẫu tin nhắn được gửi tới đối tượng điều hành VietCredCare thông qua kênh Telegram riêng
“VietCredCare là mã độc tinh vi đang được phát tán rộng rãi dưới mô hình Stealer-as-a-service. Nghiên cứu của Group-IB đã chỉ rõ một mạng lưới phức tạp các kết nối giữa các đối tượng phát triển mã độc, người mua nó và các nạn nhân, cho thấy thực tế là mã độc này vẫn đang được quảng bá rộng rãi trong cộng đồng tội phạm mạng ở Việt Nam.”
“Cách vận hành cốt lõi của VietCredCare là trích xuất ra thông tin đăng nhập của các tài khoản Facebook, điều này rất nguy hại vì nó khiến cho các tổ chức công lập và tư nhân đều có thể phải đối mặt với nguy cơ bị thiệt hại về danh tiếng và tài chính nếu các tài khoản trọng yếu của họ bị xâm phạm trái phép.”
“Chúng tôi khuyến nghị người dùng đảm bảo rằng đã kích hoạt tính năng xác thực 2 yếu tố (2FA) trên các tài khoản mạng xã hội của mình và cảnh giác khi nhấp vào bất kỳ đường dẫn lạ khi chưa được kiểm chứng,” Ông Anh Lê, Giám đốc Phát triển Kinh doanh của Group-IB tại Việt Nam, cho biết.