Voleur d'albums
Les logiciels malveillants qui collectent des informations sont monnaie courante dans le monde de la cybercriminalité. L'Album Stealer est un nouvel outil menaçant de cette catégorie qui cible les utilisateurs à la recherche de contenu pour adultes sur Facebook. La menace se propage par le biais de campagnes malveillantes et peut être utilisée pour collecter des données sensibles sur les ordinateurs des victimes. Il fonctionne en collectant des informations telles que les noms d'utilisateur, les mots de passe, les numéros de carte de crédit et d'autres données personnelles de la machine infectée. Une fois collectées, ces données sont ensuite envoyées à un serveur distant contrôlé par l'attaquant. Des informations et des détails techniques sur Album Stealer ont été révélés dans un rapport de chercheurs en sécurité.
Les capacités menaçantes du voleur d'albums
Le nom de la menace est basé sur la technique de leurre qu'elle utilise pour attirer et tromper les victimes sans méfiance - l'Album Stealer se fait passer pour un album photo contenant des images adultes leurres. Pendant ce temps, le logiciel malveillant effectue diverses actions nuisibles en arrière-plan du système.
L'Album Stealer utilise des techniques de chargement latéral pour exécuter des DLL corrompues et éviter la détection. Il collecte les cookies et les informations d'identification stockées à partir des navigateurs Web sur la machine de la victime, ainsi que des informations provenant du gestionnaire de publicités Facebook, des comptes Facebook Business et des pages graphiques de l'API Facebook. Plus précisément, à partir de ces sources, Album Stealer tente d'extraire les identifiants de compte, les noms, les heures de création, les statuts de vérification, les rôles autorisés, les crédits étendus, les montants facturés, les périodes de facturation et plus encore. De plus, le voleur peut récolter des détails sensibles à partir d'une gamme de navigateurs différents - Chrome, Firefox, Edge, Opera et Brave.
Pour masquer plusieurs de ses chaînes et données de base, l'Album Stealer utilise l'obscurcissement via la classe ConcurrentDictionary. Une fois qu'il a collecté toutes les informations nécessaires d'un système infecté, il les envoie à un serveur de commande et de contrôle. Le groupe menaçant responsable du lancement de ces attaques serait situé au Vietnam.
Chaîne d'infection du voleur d'albums
Les attaques d'Album Stealer utilisent des tactiques d'ingénierie sociale qui commencent par la création de fausses pages de profil Facebook contenant des images de femmes adultes. Ces profils sont conçus pour inciter les victimes à accéder à un lien pour télécharger un album contenant les images promises. Cependant, une fois cliqué, le lien redirigera les victimes vers une archive zip corrompue contenant des charges utiles de logiciels malveillants. Le fichier zip est soit hébergé sur Microsoft OneDrive, soit sur un site Web compromis contenant de tels fichiers dangereux. En téléchargeant et en ouvrant l'archive, les victimes exposent sans le savoir leurs systèmes à des logiciels malveillants et à d'autres contenus préjudiciables.
