Album Stealer

Skadlig programvara som samlar in information är en vanlig företeelse i världen av cyberbrottslighet. The Album Stealer är ett nytt hotfullt verktyg från denna kategori som riktar sig till användare som söker vuxet innehåll på Facebook. Hotet sprids genom illasinnade kampanjer och kan användas för att samla in känsliga uppgifter från offrens datorer. Det fungerar genom att samla in information, såsom användarnamn, lösenord, kreditkortsnummer och annan personlig information från den infekterade maskinen. När de har samlats in skickas dessa data till en fjärrserver som kontrolleras av angriparen. Information och tekniska detaljer om Album Stealer avslöjades i en rapport från säkerhetsforskare.

The Threatening Capabilities of the Album Stealer

Namnet på hotet är baserat på den lockelseteknik som används för att locka till sig och lura intet ont anande offer - Album Stealer maskerar sig som ett fotoalbum som innehåller lockande vuxenbilder. Under tiden utför skadlig programvara olika skadliga åtgärder i bakgrunden av systemet.

Album Stealer använder sidoladdningstekniker för att exekvera korrupta DLL:er och undvika upptäckt. Den samlar in cookies och lagrade referenser från webbläsare på offrets dator, samt information från Facebook Ads Manager, Facebook Business-konton och Facebook API-grafsidor. Mer specifikt, från dessa källor försöker Album Stealer extrahera offrens konto-ID, namn, skapandetider, verifieringsstatusar, tillåtna roller, utökade krediter, fakturerade belopp, faktureringsperioder och mer. Dessutom kan stjälaren skörda känsliga detaljer från en rad olika webbläsare – Chrome, Firefox, Edge, Opera och Brave.

För att maskera flera av dess grundläggande strängar och data använder Album Stealer obfuskering genom klassen ConcurrentDictionary. När den har samlat in all nödvändig information från ett infekterat system skickar den den till en kommando- och kontrollserver. Den hotgrupp som är ansvarig för att starta dessa attacker tros finnas i Vietnam.

Album Stealer's Infection Chain

Album Stealer-attackerna använder social ingenjörstaktik som börjar med skapandet av falska Facebook-profilsidor som innehåller vuxna bilder av kvinnor. Dessa profiler är utformade för att locka offer att komma åt en länk för att ladda ner ett album som innehåller de utlovade bilderna. Men när den väl klickas, kommer länken antingen att omdirigera offren till ett skadat zip-arkiv med skadlig programvara. Zip-filen finns antingen på Microsoft OneDrive eller en komprometterad webbplats som innehåller sådana osäkra filer. Genom att ladda ner och öppna arkivet utsätter offren omedvetet sina system för skadlig programvara och annat skadligt innehåll.