Album Stealer

Zlonamerna programska oprema, ki zbira podatke, je pogost pojav v svetu kibernetske kriminalitete. Album Stealer je novo orodje za grožnje iz te kategorije, ki cilja na uporabnike, ki iščejo vsebino za odrasle na Facebooku. Grožnja se širi prek slaboumnih kampanj in se lahko uporabi za zbiranje občutljivih podatkov iz računalnikov žrtev. Deluje tako, da z okuženega računalnika zbira informacije, kot so uporabniška imena, gesla, številke kreditnih kartic in drugi osebni podatki. Ko so ti podatki zbrani, se pošljejo oddaljenemu strežniku, ki ga nadzira napadalec. Informacije in tehnične podrobnosti o Album Stealerju so bile razkrite v poročilu varnostnih raziskovalcev.

Nevarne zmožnosti tatovi albumov

Ime grožnje temelji na tehniki vabe, ki jo uporablja za privabljanje in pretentanje nič hudega slutečih žrtev – Album Stealer se maskira kot album s fotografijami, ki vsebuje vabljive slike odraslih. Medtem pa zlonamerna programska oprema izvaja različna škodljiva dejanja v ozadju sistema.

Album Stealer uporablja tehnike stranskega nalaganja za izvajanje poškodovanih DLL-jev in izogibanje zaznavanju. Zbira piškotke in shranjene poverilnice iz spletnih brskalnikov na žrtvinem računalniku ter informacije iz Facebook Ads Managerja, Facebook Business accounts in Facebook API graph pages. Natančneje, iz teh virov poskuša Album Stealer pridobiti ID-je računov žrtev, imena, čase ustvarjanja, statuse preverjanja, dovoljene vloge, podaljšane kredite, zaračunane zneske, obračunska obdobja in še več. Poleg tega lahko tat pridobi občutljive podrobnosti iz vrste različnih brskalnikov – Chrome, Firefox, Edge, Opera in Brave.

Za maskiranje več svojih osnovnih nizov in podatkov, Album Stealer uporablja zamegljevanje prek razreda ConcurrentDictionary. Ko zbere vse potrebne informacije iz okuženega sistema, jih pošlje strežniku za ukaze in nadzor. Groženjska skupina, ki je odgovorna za te napade, naj bi se nahajala v Vietnamu.

Album Stealer's Infection Chain

Napadi Album Stealer uporabljajo taktike socialnega inženiringa, ki se začnejo z ustvarjanjem lažnih Facebook profilnih strani, ki vsebujejo podobe žensk za odrasle. Ti profili so zasnovani tako, da žrtve pritegnejo k dostopu do povezave za prenos albuma, ki vsebuje obljubljene slike. Vendar pa bo povezava po kliku preusmerila žrtve v poškodovani arhiv zip, ki nosi koristno vsebino zlonamerne programske opreme. Datoteka zip gostuje v Microsoft OneDrive ali na ogroženem spletnem mestu, ki vsebuje takšne nevarne datoteke. S prenosom in odpiranjem arhiva žrtve nevede izpostavijo svoje sisteme zlonamerni programski opremi in drugi škodljivi vsebini.