专辑窃取者

收集信息的恶意软件在网络犯罪领域很常见。 Album Stealer 是此类中的一种新威胁工具，其目标是在 Facebook 上寻找成人内容的用户。该威胁通过恶意活动传播，可用于从受害者的计算机收集敏感数据。它的工作原理是从受感染的机器上收集用户名、密码、信用卡号和其他个人数据等信息。收集后，这些数据将被发送到由攻击者控制的远程服务器。安全研究人员在一份报告中披露了有关 Album Stealer 的信息和技术细节。

专辑窃取者的威胁能力

威胁的名称是基于它用来吸引和欺骗毫无戒心的受害者的诱饵技术 - Album Stealer 伪装成包含诱饵成人图像的相册。同时，恶意软件在系统后台执行各种有害操作。

Album Stealer 利用侧面加载技术来执行损坏的 DLL 并避免检测。它从受害者机器上的 Web 浏览器收集 cookie 和存储的凭据，以及来自 Facebook Ads Manager、Facebook Business 帐户和 Facebook API 图页面的信息。更具体地说，Album Stealer 试图从这些来源中提取受害者的帐户 ID、姓名、创建时间、验证状态、允许的角色、扩展信用、账单金额、账单周期等。此外，窃取者还可以从各种不同的浏览器（Chrome、Firefox、Edge、Opera 和 Brave）中获取敏感信息。

为了掩盖它的几个基本字符串和数据，Album Stealer 通过 ConcurrentDictionary 类进行混淆。一旦它从受感染的系统收集到所有必要的信息，它就会将其发送到命令和控制服务器。负责发动这些攻击的威胁组织被认为位于越南。

专辑窃取者的感染链

Album Stealer 攻击使用社会工程策略，首先创建包含女性成人图像的虚假 Facebook 个人资料页面。这些配置文件旨在引诱受害者访问链接以下载包含承诺图像的相册。然而，一旦点击，该链接就会将受害者重定向到一个带有恶意软件负载的损坏的 zip 存档。该 zip 文件要么托管在 Microsoft OneDrive 上，要么托管在带有此类不安全文件的受感染网站上。通过下载和打开档案，受害者在不知不觉中将他们的系统暴露给恶意软件和其他破坏性内容。