Album Stealer

Um malware que coleta informações é uma ocorrência comum no mundo do crime cibernético. O Album Stealer é uma nova ferramenta ameaçadora desta categoria que tem como alvo usuários que procuram conteúdo adulto no Facebook. A ameaça se espalha por meio de campanhas mal-intencionadas e pode ser usada para coletar dados confidenciais dos computadores das vítimas. Ele funciona coletando informações, como nomes de usuário, senhas, números de cartão de crédito e outros dados pessoais da máquina infectada. Depois de coletados, esses dados são enviados para um servidor remoto controlado pelo invasor. Informações e detalhes técnicos sobre o Album Stealer foram revelados em um relatório de pesquisadores de segurança.

As Capacidades Ameaçadoras do Album Stealer

O nome da ameaça é baseado na técnica de atração que utiliza para atrair e enganar vítimas inocentes - o Album Stealer se disfarça como um álbum de fotos contendo imagens adultas falsas. Enquanto isso, o malware executa várias ações prejudiciais em segundo plano do sistema.

O Album Stealer utiliza técnicas de carregamento lateral para executar DLLs corrompidas e evitar a detecção. Ele coleta cookies e credenciais armazenadas de navegadores da Web na máquina da vítima, bem como informações do Gerenciador de Anúncios do Facebook, contas do Facebook Business e páginas gráficas da API do Facebook. Mais especificamente, a partir dessas fontes, o Album Stealer tenta extrair IDs de contas das vítimas, nomes, horários de criação, status de verificação, funções permitidas, créditos estendidos, valores cobrados, períodos de cobrança e muito mais. Além disso, o ladrão pode coletar detalhes confidenciais de vários navegadores diferentes - Chrome, Firefox, Edge, Opera e Brave.

Para mascarar várias de suas strings e dados básicos, o Album Stealer emprega ofuscação por meio da classe ConcurrentDictionary. Depois de coletar todas as informações necessárias de um sistema infectado, ele as envia para um servidor de comando e controle. Acredita-se que o grupo de ameaças responsável por lançar esses ataques esteja localizado no Vietnã.

A Cadeia de Infecção do Album Stealer

Os ataques do Album Stealer usam táticas de engenharia social que começam com a criação de páginas de perfil falsas no Facebook contendo imagens adultas de mulheres. Esses perfis são projetados para induzir as vítimas a acessar um link para baixar um álbum contendo as imagens prometidas. No entanto, uma vez clicado, o link redirecionará as vítimas para um arquivo zip corrompido que carrega cargas de malware. O arquivo zip está hospedado no Microsoft OneDrive ou em um site comprometido que carrega esses arquivos inseguros. Ao baixar e abrir o arquivo, as vítimas, sem saber, expõem seus sistemas a malware e outros conteúdos nocivos.