Amsterdam, 22 februari 2023 - Een groot aantal nepaccounts op Facebook van vrouwen in uitdagende outfits zijn gemaakt om inloggegevens van gebruikers te stelen, zo blijkt uit
onderzoek van het Zscaler ThreatLabz-team. De profielen nemen contact op met potentiële slachtoffers op Facebook en bieden aan om een bestand met sexy foto's toe te sturen. Eenmaal gedownload bevat het album de beloofde foto’s, maar ook malware om gebruikersnamen en wachtwoorden te stelen. Tegenwoordig wordt
malware die informatie steelt steeds vaker waargenomen. Het
Zscaler ThreatLabz-team heeft in verschillende aanvalscampagnes al veel nieuwe typen stealer-malwarefamilies ontdekt, waaronder deze nieuwe informatie-stealer genaamd Album.
Belangrijkste punten:
- Album Stealer is vermomd als een fotoalbum met Adult-Only content. Na het klikken op de downloadlink worden kwaadaardige activiteiten op de achtergrond uitgevoerd.
- De malware gebruikt een side-loading-techniek die legitieme applicaties gebruikt om kwaadaardige DLL's uit te voeren om detectie te voorkomen.
- Album steelt cookies en opgeslagen inloggegevens van verschillende webbrowsers op de computer van het slachtoffer.
- Er wordt ook informatie gestolen van Facebook Ads Manager, Facebook Business-accounts en Facebook API Graph-pagina's.
- Album maakt gebruik van ConcurrentDictionary om belangrijke strings en data te maskeren.
- Album verzendt de verzamelde informatie van het geïnfecteerde systeem naar een command and control-server.
- De dreigingsgroep die deze aanvallen inzet, bevindt zich mogelijk in Vietnam.
De aanvalsketen
De Album Stealer-aanvallen starten vanaf nep Facebook-profielpagina's die uitdagende afbeeldingen van vrouwen bevatten. Hackers maken deze profielen om een slachtoffer ertoe te verleiden op een link te klikken om een album met de afbeeldingen te downloaden. De aanval begint wanneer het slachtoffer op die link klikt, die doorverwijst naar een zip-archiefbestand dat vaak wordt gehost op Microsoft OneDrive, of verwijst naar een andere kwaadaardige site die een kwaadaardig zip-bestand host.
De malware in kwestie is hier een info-stealer, geprogrammeerd om specifieke bestanden te doorzoeken en op te halen, zoals cookies en identificatiegegevens. Hiervoor richt de software zich op browsers als Google Chrome, Firefox en Microsoft Edge of Brave. Album Stealer - de naam die Zscaler aan de malware heeft gegeven - richt zich op Local State, Login Data en cookie-bestanden. De Local State-locatie bevat sleutels die nodig zijn om webbrowser-gegevens te decoderen. Het programma leest het bestand en herstelt de nodige parameters om verder te gaan met de infectie. De grafiek hieronder bevat een volledige aanvalsketen.
Phishingcampagnes uit Vietnam
De hackers achter deze campagne zijn mogelijk Vietnamees, volgens aanwijzingen die Zscaler heeft opgemerkt. Een verzoek aan een server kreeg bijvoorbeeld een antwoord in het Vietnamees: "Statusupdate geslaagd".
Conclusie
Threat actors richten zich op Facebook-gebruikers die zij verleiden om een kwaadaardig archiefbestand te downloaden dat Adult-Only content bevat. Tegelijkertijd zetten ze de nieuwe informatie-stealer, die van Zscaler de naam Album heeft gekregen, in om informatie te stelen. Album Stealer kan beveiligingsproducten omzeilen door gebruik te maken van legitieme applicaties die kwetsbaar zijn voor DLL sideloading. Het Zscaler ThreatLabz-team blijft deze campagne volgen en gebruikers beschermen.
Klik
hier voor een uitgebreide analyse van deze campagne.