Wer auf Facebook nach erotischen Inhalten sucht, sollte sich vorsehen. Die Hackerbande  Album Stealer lockt mit gut gemachten Ködern (English version below).

Die großen Porno-Sites nehmen Security mittlerweile sehr ernst. Wer den vermeintlich leichteren Weg nach erotischen Inhalten über Facebook sucht, gerät aber schnell in Gefahr.

Zscaler ThreatLabz hat Infostealer namens „Album“ identifiziert, die Malware als Fotoalbum tarnen. Damit werden pornografische Inhalte als Köder verwendet, während im Hintergrund bösartige Aktivitäten ausgeführt werden. Dazu setzt die Malware auf eine Side-Loading-Technik, bei der legitime Anwendungen zur Ausführung bösartiger DLLs verwendet werden, um die Entdeckung zu vermeiden.

Die eigentliche Aufgabe ist jedoch das Stehlen von Cookies und Anmeldeinformationen, die von den Opfern in ihren Webbrowsern gespeichert wurden. Darüber hinaus werden Informationen von Facebook Ads Manager, Facebook Business-Konten und Facebook API Graph-Seiten gestohlen. Die auf einem infizierten System gesammelten Informationen werden schließlich an einen Command-and-Control-Server geschickt.

Album Stealer-Angriffe gehen von gefälschten Facebook-Profilseiten aus, die erotische Bilder von Frauen zeigen. Bedrohungsakteure erstellen diese Profile, um ein Opfer dazu zu verleiten, auf einen Link zu klicken, um ein Album mit diesen Bildern herunterzuladen. Der Angriff beginnt, wenn das Opfer auf diesen Link klickt, der entweder zu einer Zip-Archivdatei weiterleitet, die häufig auf Microsoft OneDrive oder einer anderen bösartigen Website gehostet wird, die eine bösartige Zip-Datei hostet.

Wird ein infizierter Link angeklickt, startet die eigentliche Infektionskette mit der Weiterleitung zu einem mit Schadcode-infiziertem Zip-Archiv, das unter anderem auf Microsoft OneDrive gehostet wird. Der Dateiname der Zip-Datei variiert je nach Kampagne und trägt Namen wie Album.zip, AlbumSuGarBaby.zip, albumgirlsexy.zip oder sexyalbum.zip.

Album Stealer lockt mit gefälschten Sugar Babes

Hinter dem Zip Archiv verbirgt sich jeweils Album.exe als eine legitime, ausführbare TresoritPDFViewer-Datei. Diese Datei ist allerdings anfällig für den DLL Side-Loading Angriff. Wird Album.exe ausgeführt, lädt das Programm eine abhängige Datei names “PdfiumControl.dll”, die in diesem Fall den Schadcode beinhaltet, der in der Folge die data.dat-Datei mit einer sich selbst extrahierenden Archivdatei (SFX) ausführt.

Diese Datei enthält die gewünschten pornographischen Bilder, die als Köder eingesetzt werden. Im Hintergrund allerdings beginnt das bösartige DLL seine Aktivitäten auf der Suche nach dem „\%AppData%\Roaming\Canon“ Verzeichnis. Erst im Anschluss wird die eigentliche Payload in einem verschlüsselten Format abgeliefert, die sich auf die Suche nach den gewünschten Informationen in Form von Anmeldeinformationen, Cookies oder Facebook Business und Ad-Accounts macht.

Schlussfolgerung

Angreifer versuchen, Facebook-Benutzer dazu zu bringen, eine bösartige Archivdatei herunterzuladen, die als Köder mit pornographischen Inhalten lockt. Der Album Stealer kann Sicherheitsvorkehrungen umgehen, indem er legitime Anwendungen ausnutzt, die für DLL-Side-Loading anfällig sind.

English Version

Album Stealer attacks Facebook

Anyone searching for erotic content on Facebook should beware. The hacker gang Album Stealer uses adult content as bait to steal personal information.

The big porn sites now are very serious about security . However, those who take the supposedly easier route of searching for erotic content via Facebook quickly find themselves in danger.

Zscaler ThreatLabz has identified info stealers called „Album“ that disguise malware as a photo album. This uses pornographic content as bait while malicious activities are carried out in the background. To do so, the malware relies on a side-loading technique where legitimate applications are used to execute malicious DLLs in order to avoid detection.

However, the real task is stealing cookies and credentials stored by victims in their web browsers. It also steals information from Facebook Ads Manager, Facebook Business accounts and Facebook API Graph pages. The information collected on an infected system is eventually sent to a command-and-control server.

Album Stealer attacks start from fake Facebook profile pages that contain adult pictures of women. Threat actors create these profiles to lure a victim into clicking on a link to download an album containing the images. The attack starts when the victim clicks on that link, which either redirects to a zip archive file that is frequently hosted on Microsoft OneDrive or another malicious site that hosts a malicious zip file. The filename of the zip varies between campaigns with names like Album.zip, AlbumSuGarBaby.zip, albumgirlsexy.zip or sexyalbum.zip.

When an infected link is clicked, the actual infection chain starts by redirecting to a malcode-infected zip archive hosted on Microsoft OneDrive, among others. The zip archives appear under different names, such as „Album(.)zip“, „AlbumSuGarBaby(.)zip“, „albumyirlsexy(.)zip“ or „sexyalbum(.)zip“.

Behind the zip archive, Album.exe hides as a legitimate TresoritPDFViewer executable file in each case. However, this file is vulnerable to the DLL side-loading attack. When Album.exe is executed, the program loads a dependent file named „PdfiumControl.dll“, which in this case contains the malicious code that subsequently executes the data.dat file with a self-extracting archive file (SFX).

This file contains the desired pornographic images that are used as bait. However, in the background, the malicious DLL starts its activities looking for the „\%AppData%\Roaming\Canon“ directory. Only afterwards, the actual payload is delivered in an encrypted format, which sets out to find the desired information in the form of credentials, cookies or Facebook business and ad accounts.

Conclusion

Attackers try to trick Facebook users into downloading a malicious archive file that lures with pornographic content as bait. Album Stealer can bypass security measures by exploiting legitimate applications that are vulnerable to DLL side-loading.

Album Stealer attacks start from fake Facebook profile pages that contain adult pictures of women. Threat actors create these profiles to lure a victim into clicking on a link to download an album containing the images. The attack starts when the victim clicks on that link, which either redirects to a zip archive file that is frequently hosted on Microsoft OneDrive or another malicious site that hosts a malicious zip file.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner