Robador d'àlbums

El programari maliciós que recopila informació és un fet habitual al món del cibercrim. The Album Stealer és una nova eina amenaçadora d'aquesta categoria que s'adreça als usuaris que cerquen contingut per a adults a Facebook. L'amenaça es propaga a través de campanyes malintencionades i es pot utilitzar per recollir dades sensibles dels ordinadors de les víctimes. Funciona recopilant informació, com ara noms d'usuari, contrasenyes, números de targetes de crèdit i altres dades personals de la màquina infectada. Un cop recollides, aquestes dades s'envien a un servidor remot controlat per l'atacant. La informació i els detalls tècnics sobre Album Stealer es van revelar en un informe d'investigadors de seguretat.

Les capacitats amenaçadores de l'album Stealer

El nom de l'amenaça es basa en la tècnica d'esquer que utilitza per atraure i enganyar víctimes desprevingudes: l'Album Stealer es dissimula com un àlbum de fotos que conté imatges d'adults enganyades. Mentrestant, el programari maliciós realitza diverses accions perjudicials en segon pla del sistema.

L'Album Stealer utilitza tècniques de càrrega lateral per executar DLL corruptes i evitar la detecció. Recopila galetes i credencials emmagatzemades dels navegadors web a la màquina de la víctima, així com informació del Gestor d'anuncis de Facebook, comptes de Facebook Business i pàgines de gràfics de l'API de Facebook. Més concretament, a partir d'aquestes fonts, el robatori d'àlbums intenta extreure els ID de comptes de les víctimes, els noms, els temps de creació, els estats de verificació, les funcions permeses, els crèdits ampliats, els imports facturats, els períodes de facturació i molt més. A més, el lladre pot recollir detalls sensibles d'una varietat de navegadors diferents: Chrome, Firefox, Edge, Opera i Brave.

Per emmascarar diverses de les seves cadenes i dades bàsiques, Album Stealer utilitza l'ofuscació mitjançant la classe ConcurrentDictionary. Un cop ha recollit tota la informació necessària d'un sistema infectat, l'envia a un servidor d'ordres i control. Es creu que el grup d'amenaça responsable de llançar aquests atacs es troba al Vietnam.

Àlbum Stealer's Infection Chain

Els atacs de Album Stealer utilitzen tàctiques d'enginyeria social que comencen amb la creació de pàgines falses de perfil de Facebook que contenen imatges adultes de dones. Aquests perfils estan dissenyats per atraure les víctimes a accedir a un enllaç per descarregar un àlbum que conté les imatges promeses. Tanmateix, un cop fet clic, l'enllaç redirigirà les víctimes a un arxiu zip danyat que porta càrregues útils de programari maliciós. El fitxer zip està allotjat a Microsoft OneDrive o en un lloc web compromès que inclou aquests fitxers insegurs. En baixar i obrir l'arxiu, les víctimes sense saber-ho exposen els seus sistemes a programari maliciós i altres continguts danyosos.