Крадец на албуми

Зловреден софтуер, който събира информация, е често срещано явление в света на киберпрестъпността. Album Stealer е нов заплашителен инструмент от тази категория, който е насочен към потребители, търсещи съдържание за възрастни във Facebook. Заплахата се разпространява чрез злонамерени кампании и може да се използва за събиране на чувствителни данни от компютрите на жертвите. Той работи, като събира информация, като потребителски имена, пароли, номера на кредитни карти и други лични данни от заразената машина. След като бъдат събрани, тези данни се изпращат до отдалечен сървър, контролиран от нападателя. Информация и технически подробности за албума Stealer бяха разкрити в доклад на изследователи по сигурността.

Заплашващите възможности на крадеца на албуми

Името на заплахата се основава на техниката за примамка, която използва, за да привлече и подмами нищо неподозиращите жертви - Крадецът на албуми се маскира като фотоалбум, съдържащ примамливи изображения за възрастни. Междувременно зловредният софтуер извършва различни вредни действия във фонов режим на системата.

Album Stealer използва техники за странично зареждане, за да изпълни повредени DLL файлове и да избегне откриването. Той събира бисквитки и съхранени идентификационни данни от уеб браузъри на машината на жертвата, както и информация от Facebook Ads Manager, Facebook Business акаунти и Facebook API графики. По-конкретно, от тези източници, Крадецът на албуми се опитва да извлече идентификационни номера на акаунти на жертвите, имена, времена на създаване, състояния на потвърждение, разрешени роли, разширени кредити, таксувани суми, периоди на фактуриране и други. В допълнение, крадецът може да събира чувствителни подробности от набор от различни браузъри - Chrome, Firefox, Edge, Opera и Brave.

За да маскира няколко от своите основни низове и данни, Album Stealer използва обфускация чрез класа ConcurrentDictionary. След като събере цялата необходима информация от заразена система, тя я изпраща на команден и контролен сървър. Смята се, че групата за заплаха, отговорна за стартирането на тези атаки, се намира във Виетнам.

Веригата за заразяване на крадците на албуми

Атаките на Album Stealer използват тактики за социално инженерство, които започват със създаването на фалшиви профилни страници във Facebook, съдържащи изображения на жени за възрастни. Тези профили са предназначени да привлекат жертвите да получат достъп до връзка за изтегляне на албум, съдържащ обещаните изображения. Въпреки това, веднъж щракната, връзката или ще пренасочи жертвите към повреден zip архив, носещ полезен товар от зловреден софтуер. Zip файлът се хоства или на Microsoft OneDrive, или на компрометиран уебсайт, съдържащ такива опасни файлове. Като изтеглят и отварят архива, жертвите несъзнателно излагат системите си на зловреден софтуер и друго вредно съдържание.