Κλέφτης άλμπουμ

Το κακόβουλο λογισμικό που συλλέγει πληροφορίες είναι ένα σύνηθες φαινόμενο στον κόσμο του εγκλήματος στον κυβερνοχώρο. Το Album Stealer είναι ένα νέο απειλητικό εργαλείο από αυτήν την κατηγορία που στοχεύει χρήστες που αναζητούν περιεχόμενο για ενηλίκους στο Facebook. Η απειλή διαδίδεται μέσω κακοπροαίρετων εκστρατειών και μπορεί να χρησιμοποιηθεί για τη συλλογή ευαίσθητων δεδομένων από τους υπολογιστές των θυμάτων. Λειτουργεί συλλέγοντας πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών και άλλα προσωπικά δεδομένα από το μολυσμένο μηχάνημα. Μόλις συλλεχθούν, αυτά τα δεδομένα αποστέλλονται σε έναν απομακρυσμένο διακομιστή που ελέγχεται από τον εισβολέα. Πληροφορίες και τεχνικές λεπτομέρειες για το Album Stealer αποκαλύφθηκαν σε έκθεση ερευνητών ασφαλείας.

Οι Απειλητικές Δυνατότητες του Κλέπτη Άλμπουμ

Το όνομα της απειλής βασίζεται στην τεχνική που χρησιμοποιεί για να προσελκύσει και να ξεγελάσει ανυποψίαστα θύματα - το Album Stealer μεταμφιέζεται σε ένα φωτογραφικό άλμπουμ που περιέχει εικόνες δόλωμα ενηλίκων. Εν τω μεταξύ, το κακόβουλο λογισμικό εκτελεί διάφορες επιβλαβείς ενέργειες στο παρασκήνιο του συστήματος.

Το Album Stealer χρησιμοποιεί τεχνικές πλευρικής φόρτωσης για να εκτελέσει κατεστραμμένα DLL και να αποφύγει τον εντοπισμό. Συλλέγει cookies και αποθηκεύει διαπιστευτήρια από προγράμματα περιήγησης Ιστού στο μηχάνημα του θύματος, καθώς και πληροφορίες από το Facebook Ads Manager, τους επιχειρηματικούς λογαριασμούς Facebook και τις σελίδες γραφημάτων API Facebook. Πιο συγκεκριμένα, από αυτές τις πηγές, το Album Stealer επιχειρεί να εξαγάγει αναγνωριστικά λογαριασμού θυμάτων, ονόματα, χρόνους δημιουργίας, καταστάσεις επαλήθευσης, επιτρεπόμενους ρόλους, εκτεταμένες πιστώσεις, ποσά χρέωσης, περιόδους χρέωσης και άλλα. Επιπλέον, ο κλέφτης μπορεί να συλλέξει ευαίσθητες λεπτομέρειες από μια σειρά διαφορετικών προγραμμάτων περιήγησης - Chrome, Firefox, Edge, Opera και Brave.

Για να καλύψει αρκετές από τις βασικές συμβολοσειρές και τα δεδομένα του, το Album Stealer χρησιμοποιεί συσκότιση μέσω της κλάσης ConcurrentDictionary. Μόλις συλλέξει όλες τις απαραίτητες πληροφορίες από ένα μολυσμένο σύστημα, τις στέλνει σε έναν διακομιστή εντολών και ελέγχου. Η ομάδα απειλών που είναι υπεύθυνη για αυτές τις επιθέσεις πιστεύεται ότι βρίσκεται στο Βιετνάμ.

Album Stealer's Infection Chain

Οι επιθέσεις του Album Stealer χρησιμοποιούν τακτικές κοινωνικής μηχανικής που ξεκινούν με τη δημιουργία ψεύτικων σελίδων προφίλ στο Facebook που περιέχουν εικόνες ενηλίκων γυναικών. Αυτά τα προφίλ έχουν σχεδιαστεί για να παρακινούν τα θύματα να έχουν πρόσβαση σε έναν σύνδεσμο για τη λήψη ενός άλμπουμ που περιέχει τις υποσχεμένες εικόνες. Ωστόσο, μόλις γίνει κλικ, ο σύνδεσμος είτε θα ανακατευθύνει τα θύματα σε ένα κατεστραμμένο αρχείο zip που φέρει ωφέλιμα φορτία κακόβουλου λογισμικού. Το αρχείο zip φιλοξενείται είτε στο Microsoft OneDrive είτε σε παραβιασμένο ιστότοπο που περιέχει τέτοια μη ασφαλή αρχεία. Με τη λήψη και το άνοιγμα του αρχείου, τα θύματα εκθέτουν εν αγνοία τους τα συστήματά τους σε κακόβουλο λογισμικό και άλλο επιβλαβές περιεχόμενο.