El equipo de Zscaler ThreatLabz ha descubierto un nuevo ladrón de información llamado Album Stealer que se lanza desde perfiles falsos de Facebook que contienen fotos para adultos de mujeres. Los actores de la amenaza crean estos perfiles para atraer a la víctima y que haga clic en un enlace para descargar un álbum que contiene las imágenes.
El álbum en cuestión contiene las fotos prometidas, pero también malware para robar nombres de usuario y contraseñas. El ataque comienza cuando la víctima hace clic en ese enlace, que redirige a un archivo zip que suele estar alojado en Microsoft OneDrive o en otro sitio malicioso que aloja un archivo zip malicioso.
El malware utilizado en este caso es un ladrón de información, programado para entrar en carpetas y recuperar archivos específicos: cookies, datos de identificación.
Para ello, el software se centra en navegadores como Chrome, Firefox, Microsoft Edge o Brave. Album Stealer se dirige a los archivos Local State, Login Data y Cookies. La ubicación Local State contiene las claves necesarias para descifrar los datos del navegador web. En primer lugar, el programa lee el archivo y recupera los parámetros necesarios para continuar con la infección. Las funciones de búsqueda de archivos se utilizan para encontrar rápidamente datos de interés y exportarlos a servidores externos. Todo el proceso se lleva a cabo discretamente sin el conocimiento de la víctima.
Los investigadores creen que los responsables de esta campaña son vietnamitas, según las pistas detectadas por Zscaler. Por ejemplo, una petición a un servidor recibió una respuesta en vietnamita: "Actualización de estado correcta".