Album Stealer

Skadelig programvare som samler inn informasjon er en vanlig forekomst i nettkriminalitetens verden. The Album Stealer er et nytt truende verktøy fra denne kategorien som retter seg mot brukere som søker voksent innhold på Facebook. Trusselen spres gjennom dårlige kampanjer og kan brukes til å samle inn sensitive data fra ofrenes datamaskiner. Det fungerer ved å samle inn informasjon, som brukernavn, passord, kredittkortnumre og andre personlige data fra den infiserte maskinen. Når de er samlet inn, sendes disse dataene til en ekstern server kontrollert av angriperen. Informasjon og tekniske detaljer om Album Stealer ble avslørt i en rapport fra sikkerhetsforskere.

De truende egenskapene til Album Stealer

Navnet på trusselen er basert på lokketeknikken den bruker for å tiltrekke seg og lure intetanende ofre - Album Stealer maskerer seg som et fotoalbum som inneholder lokkebilder for voksne. I mellomtiden utfører skadelig programvare ulike skadelige handlinger i bakgrunnen av systemet.

Album Stealer bruker side-loading-teknikker for å kjøre korrupte DLL-er og unngå gjenkjenning. Den samler informasjonskapsler og lagret legitimasjon fra nettlesere på offerets maskin, samt informasjon fra Facebook Ads Manager, Facebook Business-kontoer og Facebook API-grafsider. Mer spesifikt, fra disse kildene, forsøker Albumtyveren å trekke ut ofrenes konto-IDer, navn, opprettelsestider, bekreftelsesstatuser, tillatte roller, utvidede kreditter, fakturerte beløp, faktureringsperioder og mer. I tillegg kan stjeleren høste sensitive detaljer fra en rekke forskjellige nettlesere – Chrome, Firefox, Edge, Opera og Brave.

For å maskere flere av sine grunnleggende strenger og data, bruker Album Stealer obfuskering gjennom ConcurrentDictionary-klassen. Når den har samlet inn all nødvendig informasjon fra et infisert system, sender den den til en kommando- og kontrollserver. Trusselgruppen som er ansvarlig for å sette i gang disse angrepene antas å være lokalisert i Vietnam.

Album Stealer's Infection Chain

Album Stealer-angrepene bruker sosial ingeniørtaktikk som begynner med opprettelsen av falske Facebook-profilsider som inneholder voksne bilder av kvinner. Disse profilene er laget for å lokke ofre til å få tilgang til en lenke for å laste ned et album som inneholder de lovede bildene. Men når den først er klikket, vil koblingen enten omdirigere ofrene til et ødelagt zip-arkiv med skadelig programvare. ZIP-filen er enten vert på Microsoft OneDrive eller et kompromittert nettsted som inneholder slike usikre filer. Ved å laste ned og åpne arkivet, utsetter ofre ubevisst systemene sine for skadelig programvare og annet skadelig innhold.