Ladro di album

Il malware che raccoglie informazioni è un evento comune nel mondo del crimine informatico. The Album Stealer è un nuovo strumento minaccioso di questa categoria che prende di mira gli utenti che cercano contenuti per adulti su Facebook. La minaccia si diffonde attraverso campagne scellerate e può essere utilizzata per raccogliere dati sensibili dai computer delle vittime. Funziona raccogliendo informazioni, come nomi utente, password, numeri di carte di credito e altri dati personali dalla macchina infetta. Una volta raccolti, questi dati vengono quindi inviati a un server remoto controllato dall'aggressore. Informazioni e dettagli tecnici su Album Stealer sono stati rivelati in un rapporto di ricercatori di sicurezza.

Le capacità minacciose del ladro di album

Il nome della minaccia si basa sulla tecnica di richiamo che utilizza per attirare e ingannare vittime ignare: il ladro di album si maschera da album fotografico contenente immagini di adulti esca. Nel frattempo, il malware esegue varie azioni dannose sullo sfondo del sistema.

Album Stealer utilizza tecniche di caricamento laterale per eseguire DLL danneggiate ed evitare il rilevamento. Raccoglie cookie e credenziali memorizzate dai browser Web sulla macchina della vittima, nonché informazioni da Facebook Ads Manager, account aziendali di Facebook e pagine grafiche dell'API di Facebook. Più specificamente, da queste fonti, Album Stealer tenta di estrarre gli ID degli account delle vittime, i nomi, i tempi di creazione, gli stati di verifica, i ruoli consentiti, i crediti estesi, gli importi fatturati, i periodi di fatturazione e altro. Inoltre, il ladro può raccogliere dettagli sensibili da una gamma di browser diversi: Chrome, Firefox, Edge, Opera e Brave.

Per mascherare molte delle stringhe e dei dati di base, Album Stealer utilizza l'offuscamento tramite la classe ConcurrentDictionary. Dopo aver raccolto tutte le informazioni necessarie da un sistema infetto, le invia a un server di comando e controllo. Si ritiene che il gruppo di minaccia responsabile del lancio di questi attacchi si trovi in Vietnam.

La catena di infezioni del ladro di album

Gli attacchi di Album Stealer utilizzano tattiche di ingegneria sociale che iniziano con la creazione di false pagine del profilo Facebook contenenti immagini adulte di donne. Questi profili sono progettati per invogliare le vittime ad accedere a un collegamento per scaricare un album contenente le immagini promesse. Tuttavia, una volta cliccato, il collegamento reindirizzerà le vittime a un archivio zip danneggiato contenente payload di malware. Il file zip è ospitato su Microsoft OneDrive o su un sito Web compromesso che contiene tali file non sicuri. Scaricando e aprendo l'archivio, le vittime espongono inconsapevolmente i propri sistemi a malware e altri contenuti dannosi.