Похититель альбомов

Вредоносное ПО, собирающее информацию, — обычное явление в мире киберпреступности. Альбомный похититель — новый инструмент из этой категории, предназначенный для пользователей, которые ищут контент для взрослых на Facebook. Угроза распространяется посредством злонамеренных кампаний и может использоваться для сбора конфиденциальных данных с компьютеров жертв. Он работает путем сбора информации, такой как имена пользователей, пароли, номера кредитных карт и другие личные данные с зараженной машины. После сбора эти данные отправляются на удаленный сервер, контролируемый злоумышленником. Информация и технические подробности о Album Stealer были раскрыты в отчете исследователей безопасности.

Угрожающие возможности похитителя альбомов

Название угрозы основано на методе приманки, который она использует для привлечения и обмана ничего не подозревающих жертв — Album Stealer маскируется под фотоальбом, содержащий изображения-приманки для взрослых. Между тем вредоносное ПО выполняет различные вредоносные действия в фоновом режиме системы.

Альбомный похититель использует методы боковой загрузки для запуска поврежденных библиотек DLL и предотвращения обнаружения. Он собирает файлы cookie и сохраненные учетные данные из веб-браузеров на компьютере жертвы, а также информацию из Facebook Ads Manager, учетных записей Facebook Business и графических страниц API Facebook. В частности, из этих источников Album Stealer пытается извлечь идентификаторы учетных записей жертв, имена, время создания, статусы проверки, разрешенные роли, расширенные кредиты, суммы счетов, расчетные периоды и многое другое. Кроме того, похититель может собирать конфиденциальные данные из различных браузеров — Chrome, Firefox, Edge, Opera и Brave.

Чтобы замаскировать некоторые из своих основных строк и данных, Album Stealer использует запутывание с помощью класса ConcurrentDictionary. Собрав всю необходимую информацию из зараженной системы, он отправляет ее на сервер управления и контроля. Предполагается, что группа угроз, ответственная за эти атаки, находится во Вьетнаме.

Альбом Stealer's Infection Chain

Атаки Album Stealer используют тактику социальной инженерии, которая начинается с создания поддельных страниц профиля Facebook, содержащих изображения взрослых женщин. Эти профили предназначены для того, чтобы побудить жертв получить доступ к ссылке для загрузки альбома, содержащего обещанные изображения. Однако после нажатия ссылка либо перенаправит жертв на поврежденный zip-архив, содержащий вредоносное ПО. ZIP-файл либо размещен в Microsoft OneDrive, либо на скомпрометированном веб-сайте с такими небезопасными файлами. Скачивая и открывая архив, жертвы неосознанно подвергают свои системы вредоносному ПО и другому вредному контенту.