앨범 스틸러

정보를 수집하는 맬웨어는 사이버 범죄 세계에서 흔히 발생합니다. Album Stealer는 Facebook에서 성인 콘텐츠를 찾는 사용자를 대상으로 하는 이 범주의 새로운 위협 도구입니다. 이 위협은 악의적인 캠페인을 통해 확산되며 피해자의 컴퓨터에서 중요한 데이터를 수집하는 데 사용될 수 있습니다. 감염된 시스템에서 사용자 이름, 암호, 신용 카드 번호 및 기타 개인 데이터와 같은 정보를 수집하여 작동합니다. 수집된 데이터는 공격자가 제어하는 원격 서버로 전송됩니다. Album Stealer에 대한 정보 및 기술적 세부 사항은 보안 연구원의 보고서에서 공개되었습니다.

앨범 스틸러의 위협적인 기능

이 위협의 이름은 순진한 피해자를 유인하고 속이는 데 사용하는 미끼 기술을 기반으로 합니다. Album Stealer는 유인용 성인 이미지가 포함된 사진 앨범으로 가장합니다. 한편, 악성코드는 시스템 백그라운드에서 다양한 유해 행위를 수행한다.

Album Stealer는 사이드 로딩 기술을 사용하여 손상된 DLL을 실행하고 탐지를 피합니다. 피해자 컴퓨터의 웹 브라우저에서 쿠키와 저장된 자격 증명, Facebook 광고 관리자, Facebook 비즈니스 계정 및 Facebook API 그래프 페이지의 정보를 수집합니다. 보다 구체적으로, 이러한 소스에서 Album Stealer는 피해자의 계정 ID, 이름, 생성 시간, 확인 상태, 허용된 역할, 확장된 크레딧, 청구 금액, 청구 기간 등을 추출하려고 시도합니다. 또한 스틸러는 Chrome, Firefox, Edge, Opera 및 Brave와 같은 다양한 브라우저에서 민감한 정보를 수집할 수 있습니다.

몇 가지 기본 문자열과 데이터를 숨기기 위해 Album Stealer는 ConcurrentDictionary 클래스를 통해 난독화를 사용합니다. 감염된 시스템에서 필요한 모든 정보를 수집하면 명령 및 제어 서버로 보냅니다. 이러한 공격을 시작한 위협 그룹은 베트남에 있는 것으로 추정됩니다.

앨범 스틸러의 감염 사슬

Album Stealer 공격은 여성의 성인용 이미지가 포함된 가짜 Facebook 프로필 페이지 생성으로 시작하는 사회 공학 전술을 사용합니다. 이러한 프로필은 피해자가 약속된 이미지가 포함된 앨범을 다운로드할 수 있는 링크에 액세스하도록 유도하도록 설계되었습니다. 그러나 링크를 클릭하면 피해자는 맬웨어 페이로드가 포함된 손상된 zip 아카이브로 리디렉션됩니다. zip 파일은 Microsoft OneDrive 또는 이러한 안전하지 않은 파일을 포함하는 손상된 웹 사이트에서 호스팅됩니다. 아카이브를 다운로드하고 열면 피해자는 자신도 모르게 시스템을 맬웨어 및 기타 유해한 콘텐츠에 노출시킵니다.