Złodziej albumów

Złośliwe oprogramowanie, które zbiera informacje, jest częstym zjawiskiem w świecie cyberprzestępczości. Album Stealer to nowe groźne narzędzie z tej kategorii, którego celem są użytkownicy szukający treści dla dorosłych na Facebooku. Zagrożenie rozprzestrzenia się poprzez nieuczciwe kampanie i może być wykorzystywane do zbierania poufnych danych z komputerów ofiar. Działa poprzez zbieranie informacji, takich jak nazwy użytkowników, hasła, numery kart kredytowych i inne dane osobowe z zainfekowanej maszyny. Po zebraniu dane te są następnie wysyłane na zdalny serwer kontrolowany przez atakującego. Informacje i szczegóły techniczne dotyczące złodzieja albumów zostały ujawnione w raporcie badaczy bezpieczeństwa.

Groźne możliwości złodzieja albumów

Nazwa zagrożenia opiera się na technice wabienia, którą wykorzystuje do zwabienia i oszukania niczego niepodejrzewających ofiar — Album Stealer udaje album ze zdjęciami zawierający wabiące zdjęcia dorosłych. Tymczasem malware wykonuje różne szkodliwe działania w tle systemu.

Album Stealer wykorzystuje techniki ładowania bocznego w celu wykonania uszkodzonych bibliotek DLL i uniknięcia wykrycia. Gromadzi pliki cookie i przechowywane dane uwierzytelniające z przeglądarek internetowych na komputerze ofiary, a także informacje z Menedżera reklam Facebooka, kont Facebook Business i stron wykresów API Facebooka. Mówiąc dokładniej, z tych źródeł narzędzie Album Stealer próbuje wydobyć identyfikatory kont ofiar, nazwy, czasy utworzenia, statusy weryfikacji, dozwolone role, przedłużone kredyty, naliczone kwoty, okresy rozliczeniowe i inne. Ponadto złodziej może zbierać poufne dane z wielu różnych przeglądarek — Chrome, Firefox, Edge, Opera i Brave.

Aby zamaskować kilka podstawowych ciągów znaków i danych, narzędzie Album Stealer stosuje zaciemnianie za pomocą klasy ConcurrentDictionary. Po zebraniu wszystkich niezbędnych informacji z zainfekowanego systemu wysyła je do serwera dowodzenia i kontroli. Uważa się, że grupa odpowiedzialna za przeprowadzenie tych ataków znajduje się w Wietnamie.

Łańcuch infekcji złodzieja albumów

Ataki Album Stealer wykorzystują taktyki inżynierii społecznej, które rozpoczynają się od tworzenia fałszywych stron profilowych na Facebooku zawierających dorosłe zdjęcia kobiet. Profile te mają na celu zachęcenie ofiar do uzyskania dostępu do łącza umożliwiającego pobranie albumu zawierającego obiecane obrazy. Jednak po kliknięciu łącze przekieruje ofiary do uszkodzonego archiwum ZIP zawierającego złośliwe oprogramowanie. Plik zip jest hostowany w usłudze Microsoft OneDrive lub w zainfekowanej witrynie zawierającej takie niebezpieczne pliki. Pobierając i otwierając archiwum, ofiary nieświadomie narażają swoje systemy na złośliwe oprogramowanie i inne szkodliwe treści.