Albumin varastaja

Tietoa keräävät haittaohjelmat ovat yleisiä kyberrikollisuuden maailmassa. Album Stealer on tämän kategorian uusi uhkaustyökalu, joka kohdistuu käyttäjiin, jotka etsivät Facebookista aikuisille suunnattua sisältöä. Uhka leviää huonokuntoisten kampanjoiden kautta, ja sitä voidaan käyttää arkaluontoisten tietojen keräämiseen uhrien tietokoneilta. Se toimii keräämällä tietoja, kuten käyttäjätunnuksia, salasanoja, luottokorttien numeroita ja muita henkilökohtaisia tietoja tartunnan saaneelta koneelta. Kerättyään nämä tiedot lähetetään sitten hyökkääjän hallitsemalle etäpalvelimelle. Tietoa ja teknisiä yksityiskohtia Album Stealerista paljastettiin turvallisuustutkijoiden raportissa.

Albumivarastajan uhkaavat ominaisuudet

Uhan nimi perustuu houkutustekniikkaan, jolla se houkuttelee ja huijaa pahaa-aavistamattomia uhreja - Album Stealer naamioituu valokuva-albumiksi, joka sisältää houkuttelevia aikuisten kuvia. Samaan aikaan haittaohjelma suorittaa erilaisia haitallisia toimia järjestelmän taustalla.

Album Stealer käyttää sivulataustekniikoita vioittuneiden DLL-tiedostojen suorittamiseen ja havaitsemisen välttämiseksi. Se kerää evästeitä ja tallennettuja tunnistetietoja uhrin koneen verkkoselaimista sekä tietoja Facebook Ads Managerista, Facebook Business -tileistä ja Facebook API -kaaviosivuilta. Tarkemmin sanottuna näistä lähteistä Albumivaras yrittää poimia uhrien tilitunnukset, nimet, luontiajat, vahvistustilat, sallitut roolit, pidennetyt hyvitykset, laskutetut summat, laskutuskaudet ja paljon muuta. Lisäksi varastaja voi kerätä arkaluonteisia yksityiskohtia useista eri selaimista - Chrome, Firefox, Edge, Opera ja Brave.

Useiden perusmerkkijonojen ja -tietojen peittämiseksi Album Stealer käyttää hämärtämistä ConcurrentDictionary-luokan kautta. Kun se on kerännyt kaikki tarvittavat tiedot tartunnan saaneesta järjestelmästä, se lähettää ne komento- ja ohjauspalvelimelle. Näiden iskujen käynnistämisestä vastaavan uhkaryhmän uskotaan olevan Vietnamissa.

Albumi Stealerin infektioketju

Album Stealer -hyökkäykset käyttävät sosiaalista manipulointitaktiikkaa, joka alkaa väärennettyjen Facebook-profiilisivujen luomisesta, jotka sisältävät aikuisten kuvia naisista. Nämä profiilit on suunniteltu houkuttelemaan uhreja käyttämään linkkiä, josta voit ladata luvatut kuvat sisältävän albumin. Napsautettuaan linkkiä kuitenkin joko ohjataan uhrit vioittuneeseen zip-arkistoon, joka sisältää haittaohjelmia. Zip-tiedosto on joko Microsoft OneDrivessa tai vaarantuneessa verkkosivustossa, joka sisältää tällaisia vaarallisia tiedostoja. Lataamalla ja avaamalla arkiston uhrit tietämättään altistavat järjestelmänsä haittaohjelmille ja muulle haitalliselle sisällölle.