Albumu zaglis

Ļaunprātīga programmatūra, kas apkopo informāciju, ir izplatīta parādība kibernoziedzības pasaulē. Albumu zaglis ir jauns šīs kategorijas draudu rīks, kas ir paredzēts lietotājiem, kuri Facebook meklē pieaugušajiem paredzētu saturu. Draudi tiek izplatīti, izmantojot nepārdomātas kampaņas, un tos var izmantot, lai savāktu sensitīvus datus no upuru datoriem. Tas darbojas, apkopojot informāciju, piemēram, lietotājvārdus, paroles, kredītkaršu numurus un citus personas datus no inficētās iekārtas. Kad šie dati ir savākti, tie tiek nosūtīti uz attālo serveri, ko kontrolē uzbrucējs. Informācija un tehniskā informācija par Album Stealer tika atklāta drošības pētnieku ziņojumā.

Albuma zagtāja draudošās iespējas

Draudi nosaukums ir balstīts uz pievilināšanas paņēmienu, ko tas izmanto, lai piesaistītu un apmānītu nenojaušus upurus. Album Stealer tiek maskēts kā fotoalbums, kurā ir mānekļi pieaugušajiem. Tikmēr ļaunprogrammatūra sistēmas fonā veic dažādas kaitīgas darbības.

Album Stealer izmanto sānu ielādes metodes, lai izpildītu bojātus DLL un izvairītos no atklāšanas. Tas apkopo sīkfailus un saglabātos akreditācijas datus no upura datora tīmekļa pārlūkprogrammām, kā arī informāciju no Facebook reklāmu pārvaldnieka, Facebook Business kontiem un Facebook API diagrammu lapām. Konkrētāk, no šiem avotiem albumu zaglis mēģina iegūt upuru kontu ID, vārdus, izveides laikus, verifikācijas statusus, atļautās lomas, pagarinātos kredītus, rēķinu summas, norēķinu periodus un daudz ko citu. Turklāt zaglis var iegūt sensitīvas detaļas no dažādām pārlūkprogrammām — Chrome, Firefox, Edge, Opera un Brave.

Lai maskētu vairākas savas pamata virknes un datus, Album Stealer izmanto neskaidrību, izmantojot klasi ConcurrentDictionary. Kad tā ir savākusi visu nepieciešamo informāciju no inficētās sistēmas, tā nosūta to uz komandu un kontroles serveri. Tiek uzskatīts, ka par šo uzbrukumu sarīkošanu atbildīgā draudu grupa atrodas Vjetnamā.

Albuma zagtāja infekcijas ķēde

Album Stealer uzbrukumos tiek izmantota sociālās inženierijas taktika, kas sākas ar viltotu Facebook profila lapu izveidi, kurās ir pieaugušajiem paredzēti sieviešu attēli. Šie profili ir paredzēti, lai mudinātu upurus piekļūt saitei, lai lejupielādētu albumu, kurā ir apsolītie attēli. Tomēr, noklikšķinot uz saites, upuri tiks vai nu novirzīti uz bojātu ZIP arhīvu, kurā ir ļaunprātīgas programmatūras slodze. ZIP fails tiek mitināts pakalpojumā Microsoft OneDrive vai uzlauztā vietnē, kurā ir šādi nedroši faili. Lejupielādējot un atverot arhīvu, upuri neapzināti pakļauj savas sistēmas ļaunprātīgai programmatūrai un citam kaitīgam saturam.