Album Stealer, un ladrón de información que se lanza desde perfiles falsos de Facebook

  • Endpoint

El malware se hace pasar por un álbum de fotos que descarga fotos para adultos a modo de señuelo mientras realiza actividades maliciosas en segundo plano. Album Stealer se hace con cookies y credenciales almacenadas, y también sustrae información de cuentas de Facebook Business.

El malware para robar información es algo muy común en el entorno de ciberataques actual. El equipo de investigadores de Zscaler ThreatLabz han descubierto un nuevo ladrón de información, llamado Album Stealer, que se lanza desde perfiles falsos de Facebook que contienen fotos para adultos de mujeres. Los actores de la amenaza crean estos perfiles para atraer a la víctima y que haga clic en un enlace para descargar un álbum que contiene las imágenes.

El álbum en cuestión contiene las fotos prometidas, pero también malware para robar nombres de usuario y contraseñas. El ataque comienza cuando la víctima hace clic en ese enlace, que redirige a un archivo zip que suele estar alojado en Microsoft OneDrive o en otro sitio malicioso que aloja un archivo zip malicioso.

El malware utilizado en este caso es un ladrón de información, programado para entrar en carpetas y recuperar archivos específicos, como cookies y credenciales almacenadas de diferentes navegadores web en la máquina de la víctima. Para ello, el software se centra en navegadores como Chrome, Firefox, Microsoft Edge o Brave, y se dirige a los archivos Local State, Login Data y Cookies. La ubicación Local State contiene las claves necesarias para descifrar los datos del navegador web. Las funciones de búsqueda de archivos se utilizan para encontrar rápidamente datos de interés y exportarlos a servidores externos. Album Stealer también sustrae información de Facebook Ads Manager, cuentas de Facebook Business y páginas gráficas de la API de Facebook.

Todo el proceso se lleva a cabo discretamente sin el conocimiento de la víctima, ya que el malware utiliza una técnica de carga lateral que emplea aplicaciones legítimas para ejecutar DLL maliciosas con el fin de evitar su detección en varias fases, y emplea ofuscación utilizando la clase ConcurrentDictionary para ocultar cadenas y datos importantes.

Se cree que los responsables de esta campaña son vietnamitas.