Albumi varastaja

Teavet koguv pahavara on küberkuritegevuse maailmas tavaline nähtus. Album Stealer on selle kategooria uus ähvardav tööriist, mis on suunatud kasutajatele, kes otsivad Facebookist täiskasvanutele mõeldud sisu. Oht levib läbi pahatahtlike kampaaniate ja seda saab kasutada ohvrite arvutitest tundlike andmete kogumiseks. See toimib, kogudes nakatunud masinast teavet, näiteks kasutajanimesid, paroole, krediitkaardinumbreid ja muid isikuandmeid. Pärast kogumist saadetakse need andmed ründaja kontrollitavasse kaugserverisse. Album Stealeri teave ja tehnilised üksikasjad avalikustati turvauurijate aruandes.

Albumite varastaja ähvardavad võimalused

Ohu nimi põhineb peibutustehnikal, mida see kasutab pahaaimamatute ohvrite meelitamiseks ja petmiseks – Album Stealer maskeerub fotoalbumina, mis sisaldab peibutuspilte täiskasvanutele. Samal ajal teeb pahavara süsteemi taustal mitmesuguseid kahjulikke toiminguid.

Album Stealer kasutab rikutud DLL-ide käivitamiseks ja tuvastamise vältimiseks külglaadimise tehnikaid. See kogub küpsiseid ja salvestatud mandaate ohvri masina veebibrauseritest, samuti teavet Facebooki reklaamihaldurilt, Facebook Businessi kontodelt ja Facebooki API graafiku lehtedelt. Täpsemalt, nendest allikatest üritab Albumivaras hankida ohvrite konto ID-sid, nimesid, loomise aegu, kinnitusolekuid, lubatud rolle, pikendatud krediite, arveldussummasid, arveldusperioode ja palju muud. Lisaks saab varastaja koguda tundlikke detaile paljudest erinevatest brauseritest – Chrome, Firefox, Edge, Opera ja Brave.

Mitmete oma põhistringide ja andmete varjamiseks kasutab Album Stealer hägustamist klassi ConcurrentDictionary kaudu. Kui see on nakatunud süsteemist kogu vajaliku teabe kogunud, saadab see selle käsu- ja juhtimisserverisse. Arvatakse, et nende rünnakute korraldamise eest vastutav ohurühmitus asub Vietnamis.

Album Stealeri nakkusahel

Album Stealeri rünnakud kasutavad sotsiaalse manipuleerimise taktikat, mis algab võltsitud Facebooki profiililehtede loomisega, mis sisaldavad täiskasvanutele mõeldud naiste pilte. Need profiilid on loodud selleks, et meelitada ohvreid kasutama linki, mille abil saab alla laadida lubatud pilte sisaldav album. Pärast klõpsamist suunab link aga ohvrid rikutud ZIP-arhiivi, mis sisaldab pahavara kasulikke koormusi. Zip-faili majutatakse kas Microsoft OneDrive'is või ohustatud veebisaidil, mis sisaldab selliseid ebaturvalisi faile. Arhiivi alla laadides ja avades paljastavad ohvrid oma süsteemid teadmatult pahavara ja muu kahjustava sisuga.