Albumų vagystė

Kenkėjiškos programos, renkančios informaciją, yra dažnas reiškinys elektroninių nusikaltimų pasaulyje. Albumo vagystė yra naujas grėsmingas šios kategorijos įrankis, skirtas vartotojams, ieškantiems suaugusiesiems skirto turinio „Facebook“. Grėsmė plinta per neapgalvotas kampanijas ir gali būti naudojama rinkti jautrius duomenis iš aukų kompiuterių. Jis veikia renkant informaciją, pvz., vartotojo vardus, slaptažodžius, kredito kortelių numerius ir kitus asmeninius duomenis iš užkrėsto įrenginio. Surinkus šiuos duomenis, jie siunčiami į nuotolinį serverį, kurį valdo užpuolikas. Informacija ir techninės detalės apie „Album Stealer“ buvo atskleistos saugumo tyrėjų ataskaitoje.

Grėsmingos albumo vagies galimybės

Grėsmės pavadinimas pagrįstas viliojimo technika, kuria ji pritraukia ir apgaudinėja nieko neįtariančias aukas – albumo vagystė maskuojasi kaip nuotraukų albumas, kuriame yra apgaulingų suaugusiųjų atvaizdų. Tuo tarpu kenkėjiška programa atlieka įvairius žalingus veiksmus sistemos fone.

„Album Stealer“ naudoja šoninio įkėlimo metodus, kad paleistų sugadintus DLL ir išvengtų aptikimo. Ji renka slapukus ir saugomus kredencialus iš aukos įrenginio žiniatinklio naršyklių, taip pat informaciją iš „Facebook Ads Manager“, „Facebook Business“ paskyrų ir „Facebook“ API diagramų puslapių. Tiksliau, iš šių šaltinių albumų vagis bando išgauti aukų paskyrų ID, vardus, sukūrimo laiką, patvirtinimo būsenas, leidžiamus vaidmenis, pratęstus kreditus, atsiskaitymo sumas, atsiskaitymo laikotarpius ir kt. Be to, vagis gali surinkti jautrias detales iš įvairių naršyklių – Chrome, Firefox, Edge, Opera ir Brave.

Norėdami užmaskuoti kelias pagrindines eilutes ir duomenis, „Album Stealer“ naudoja užmaskavimą per „ConcurrentDictionary“ klasę. Surinkusi visą reikiamą informaciją iš užkrėstos sistemos, ji siunčia ją į komandų ir valdymo serverį. Manoma, kad grėsmės grupė, atsakinga už šių išpuolių pradžią, yra Vietname.

Albumo „Stealer's Infection Chain“.

Albumo vagių atakos naudoja socialinės inžinerijos taktiką, kuri prasideda nuo netikrų „Facebook“ profilių puslapių, kuriuose yra suaugusiems skirtų moterų atvaizdų, kūrimo. Šie profiliai sukurti taip, kad suviliotų aukas prieiti prie nuorodos, leidžiančios atsisiųsti albumą, kuriame yra žadėti vaizdai. Tačiau spustelėjus nuorodą, aukas nukreips į sugadintą ZIP archyvą, kuriame yra kenkėjiškų programų. ZIP failas yra priglobtas Microsoft OneDrive arba pažeistoje svetainėje, kurioje yra tokių nesaugių failų. Atsisiųsdamos ir atidarydamos archyvą aukos nesąmoningai pažeidžia savo sistemas nuo kenkėjiškų programų ir kito žalingo turinio.