Vykrádač albumov

Škodlivý softvér, ktorý zhromažďuje informácie, je vo svete počítačovej kriminality bežným javom. Album Stealer je nový hrozivý nástroj z tejto kategórie, ktorý sa zameriava na používateľov, ktorí hľadajú obsah pre dospelých na Facebooku. Hrozba sa šíri prostredníctvom zle zmýšľajúcich kampaní a možno ju použiť na zber citlivých údajov z počítačov obetí. Funguje tak, že z infikovaného počítača zbiera informácie, ako sú používateľské mená, heslá, čísla kreditných kariet a ďalšie osobné údaje. Po zhromaždení sa tieto údaje odošlú na vzdialený server kontrolovaný útočníkom. Informácie a technické detaily o Album Stealer boli odhalené v správe bezpečnostných výskumníkov.

Hrozivé schopnosti zlodeja albumov

Názov hrozby je založený na technike návnady, ktorú používa na prilákanie a oklamanie nič netušiacich obetí - Zlodej albumov sa maskuje ako fotoalbum obsahujúci obrázky pre dospelých. Malvér medzitým vykonáva rôzne škodlivé akcie na pozadí systému.

Album Stealer využíva techniky bočného načítania na spúšťanie poškodených knižníc DLL a vyhýbanie sa detekcii. Zhromažďuje súbory cookie a uložené prihlasovacie údaje z webových prehliadačov na počítači obete, ako aj informácie z Facebook Ads Manager, účty Facebook Business a stránky grafov rozhrania Facebook API. Presnejšie povedané, z týchto zdrojov sa album Stealer pokúša získať ID účtu obetí, mená, časy vytvorenia, stavy overenia, povolené roly, rozšírené kredity, fakturované sumy, fakturačné obdobia a ďalšie. Okrem toho môže zlodej zbierať citlivé detaily z celého radu rôznych prehliadačov – Chrome, Firefox, Edge, Opera a Brave.

Na maskovanie niekoľkých základných reťazcov a údajov používa Album Stealer zahmlievanie prostredníctvom triedy ConcurrentDictionary. Po zhromaždení všetkých potrebných informácií z infikovaného systému ich odošle na príkazový a riadiaci server. Predpokladá sa, že skupina hrozieb zodpovedná za spustenie týchto útokov sa nachádza vo Vietname.

Album Stealer's Infection Chain

Útoky Album Stealer využívajú taktiku sociálneho inžinierstva, ktorá začína vytvorením falošných profilových stránok na Facebooku, ktoré obsahujú obrázky žien pre dospelých. Tieto profily sú navrhnuté tak, aby nalákali obete na prístup k odkazu na stiahnutie albumu obsahujúceho sľúbené obrázky. Po kliknutí však odkaz buď presmeruje obete na poškodený archív zip, ktorý obsahuje užitočné zaťaženie škodlivého softvéru. Súbor zip je hosťovaný na Microsoft OneDrive alebo na napadnutej webovej lokalite, ktorá obsahuje takéto nebezpečné súbory. Stiahnutím a otvorením archívu obete nevedomky vystavia svoje systémy škodlivému softvéru a inému škodlivému obsahu.