Furtul de albume

Programele malware care colectează informații sunt o întâmplare comună în lumea criminalității cibernetice. Album Stealer este un nou instrument de amenințare din această categorie care vizează utilizatorii care caută conținut pentru adulți pe Facebook. Amenințarea este răspândită prin campanii proaste și poate fi folosită pentru a colecta date sensibile de pe computerele victimelor. Funcționează prin colectarea de informații, cum ar fi nume de utilizator, parole, numere de card de credit și alte date personale de la mașina infectată. Odată colectate, aceste date sunt apoi trimise către un server de la distanță controlat de atacator. Informații și detalii tehnice despre Album Stealer au fost dezvăluite într-un raport al cercetătorilor de securitate.

Capabilitățile amenințătoare ale furătorului de albume

Numele amenințării se bazează pe tehnica de momeală pe care o folosește pentru a atrage și a păcăli victimele nebănuitoare - Album Stealer se mascadă ca un album foto care conține imagini adulți de momeală. Între timp, malware-ul efectuează diverse acțiuni dăunătoare în fundalul sistemului.

Album Stealer utilizează tehnici de încărcare laterală pentru a executa DLL-uri corupte și pentru a evita detectarea. Acesta colectează cookie-uri și acreditări stocate din browserele web de pe computerul victimei, precum și informații din Facebook Ads Manager, conturile Facebook Business și paginile grafice Facebook API. Mai precis, din aceste surse, Album Stealer încearcă să extragă ID-urile contului victimelor, nume, timpi de creare, stări de verificare, roluri permise, credite extinse, sume facturate, perioade de facturare și multe altele. În plus, hoțul poate colecta detalii sensibile dintr-o gamă de browsere diferite - Chrome, Firefox, Edge, Opera și Brave.

Pentru a masca câteva dintre șirurile și datele sale de bază, Album Stealer folosește ofuscarea prin clasa ConcurrentDictionary. Odată ce a colectat toate informațiile necesare de la un sistem infectat, le trimite la un server de comandă și control. Se crede că grupul de amenințare responsabil pentru lansarea acestor atacuri este situat în Vietnam.

Lanțul de infecție al furatorului albumului

Atacurile Album Stealer folosesc tactici de inginerie socială care încep cu crearea de pagini de profil Facebook false care conțin imagini pentru adulți ale femeilor. Aceste profiluri sunt concepute pentru a atrage victimele să acceseze un link pentru a descărca un album care conține imaginile promise. Cu toate acestea, odată făcut clic, linkul fie va redirecționa victimele către o arhivă zip coruptă care transportă încărcături utile de malware. Fișierul zip este fie găzduit pe Microsoft OneDrive, fie pe un site web compromis care conține astfel de fișiere nesigure. Prin descărcarea și deschiderea arhivei, victimele își expun sistemele la malware și la alt conținut dăunător, fără să știe.