גנב אלבומים

תוכנה זדונית שאוספת מידע היא תופעה שכיחה בעולם פשעי הסייבר. The Album Stealer הוא כלי מאיים חדש מקטגוריה זו המכוון למשתמשים המחפשים תוכן למבוגרים בפייסבוק. האיום מופץ באמצעות קמפיינים חסרי מחשבה וניתן להשתמש בו כדי לאסוף נתונים רגישים ממחשבי הקורבנות. זה עובד על ידי איסוף מידע, כגון שמות משתמש, סיסמאות, מספרי כרטיסי אשראי ונתונים אישיים אחרים מהמחשב הנגוע. לאחר איסוף הנתונים האלה נשלחים לשרת מרוחק שנשלט על ידי התוקף. מידע ופרטים טכניים על גנבת האלבום נחשפו בדו"ח של חוקרי אבטחה.

היכולות המאיימות של גנב האלבום

שם האיום מבוסס על טכניקת הפיתוי שהוא משתמש כדי למשוך ולהערים על קורבנות תמימים - גנב האלבום מתחזה לאלבום תמונות המכיל תמונות למבוגרים. בינתיים, התוכנה הזדונית מבצעת פעולות מזיקות שונות ברקע המערכת.

גנבת האלבום משתמש בטכניקות טעינת צד כדי להפעיל קובצי DLL פגומים ולהימנע מזיהוי. הוא אוסף קובצי Cookie ואישורים מאוחסנים מדפדפני אינטרנט במחשב של הקורבן, כמו גם מידע ממנהל המודעות של פייסבוק, חשבונות פייסבוק עסקיים ודפי גרפים של פייסבוק API. ליתר דיוק, ממקורות אלו, גנב האלבום מנסה לחלץ את מזהי החשבון של הקורבנות, שמות, זמני יצירה, סטטוסים של אימות, תפקידים מותרים, זיכויים מורחבים, סכומים מחויבים, תקופות חיוב ועוד. בנוסף, הגנב יכול לקצור פרטים רגישים ממגוון דפדפנים שונים - Chrome, Firefox, Edge, Opera ו-Brave.

כדי להסוות כמה מהמחרוזות והנתונים הבסיסיים שלו, ה-Album Stealer משתמש בערפול דרך המחלקה ConcurrentDictionary. לאחר שהוא אסף את כל המידע הדרוש ממערכת נגועה, הוא שולח אותו לשרת שליטה ובקרה. על פי ההערכות, קבוצת האיומים האחראית על שיגור ההתקפות הללו ממוקמת בווייטנאם.

שרשרת הזיהום של גנבת האלבום

מתקפות ה-Album Stealer משתמשות בטקטיקות של הנדסה חברתית שמתחילה ביצירת דפי פרופיל מזויפים של פייסבוק המכילים תמונות למבוגרים של נשים. פרופילים אלה נועדו לפתות קורבנות לגשת לקישור להורדת אלבום המכיל את התמונות המובטחות. עם זאת, לאחר לחיצה, הקישור יפנה את הקורבנות לארכיון zip פגום הנושא מטענים של תוכנות זדוניות. קובץ ה-zip מתארח ב-Microsoft OneDrive או באתר אינטרנט שנפגע הנושא קבצים לא בטוחים כאלה. על ידי הורדה ופתיחת הארכיון, קורבנות חושפים את המערכות שלהם ללא ידיעתו לתוכנות זדוניות ותוכן מזיק אחר.