¿Fotos íntimas gratis en Facebook? En realidad estás descargando virus.
¿Fotos íntimas gratis en Facebook? En realidad estás descargando virus.
Zscaler ha detectado un nuevo ataque
que involucra un malware previamente desconocido llamado ‘Album Stealer’,
dirigido a los usuarios de Facebook.
El ataque emplea imágenes para adultos
para engañar a los usuarios de Facebook para que descarguen un archivo ZIP
malicioso y esencialmente se infecten con malware que roba información.
El objetivo de los adversarios es robar
las credenciales de Facebook y apoderarse de las cuentas, en particular las
cuentas comerciales que tienen acceso a campañas publicitarias y de
marketing. Los actores de amenazas usan ese acceso para ejecutar campañas
maliciosas en su propio beneficio, dirigiendo los ingresos generados por
anuncios a sus cuentas bancarias.
Cadena de ataque de Facebook
El ataque comienza cuando los actores de la amenaza utilizan páginas de perfil de Facebook falsas que contienen imágenes adultas de mujeres para atraer a los usuarios a hacer clic en ellas. Esos perfiles contienen un enlace a un archivo que supuestamente contiene un álbum de más fotos.
Al hacer clic en ese enlace, se entrega un archivo ZIP de Microsoft OneDrive, para evadir las advertencias antivirus. El archivo contiene un archivo ejecutable llamado Album.exe, una DLL maliciosa y un archivo dat.
Album.exe es en realidad un visor de PDF que descarga la DLL maliciosa para iniciar el proceso de carga de malware. El ejecutable también ejecuta un archivo autoextraíble que contiene imágenes de mujeres para servir como señuelo.
Mientras tanto, en segundo plano, el malware agrega nuevas claves de registro para establecer la persistencia en el sistema y continúa la cadena de infección cargando varios ejecutables adicionales descargados en cada paso.
Finalmente, Album Stealer se carga en el sistema, recopila datos de la computadora comprometida y los envía al servidor de comando y control.
Objetivos de ladrones de álbumes
Como malware que roba información, Album Stealer apunta a datos valiosos del usuario, como credenciales de cuentas, cookies y datos de inicio de sesión almacenados en navegadores web como Chrome, Opera, Brave, Edge y Firefox.
Su factor diferenciador frente a otros ladrones de información de uso común es que en lugar de buscar rutas estáticas en el equipo atacado, busca nombres de archivos.
Esto hace que su escaneo sea más lento, pero tiene la ventaja de darle una orientación más específica, lo que limita la cantidad de falsos positivos y cargas de datos innecesarias al C2.
Además, Album Stealer se enfoca más en las cuentas de Facebook, y si extrae credenciales para la plataforma de redes sociales, utiliza la API gráfica para obtener información adicional relacionada con las cuentas de FB comerciales y de administración de anuncios.
El ataque Album Stealer es un ataque pasivo que espera a que las víctimas den el primer paso. Sin embargo, sigue siendo una amenaza importante debido a su potencial para atraer grandes cantidades de víctimas a sus anzuelos.
Se recomienda a los usuarios de Facebook que eviten descargar archivos de los enlaces enumerados en la plataforma, especialmente cuando provienen de personas que no conocen.