Album-Stealer
Malware, die Informationen sammelt, kommt in der Welt der Cyberkriminalität häufig vor. Der Album Stealer ist ein neues Bedrohungstool aus dieser Kategorie, das auf Benutzer abzielt, die auf Facebook nicht jugendfreie Inhalte suchen. Die Bedrohung wird durch böswillige Kampagnen verbreitet und kann dazu verwendet werden, vertrauliche Daten von den Computern der Opfer zu sammeln. Es funktioniert, indem es Informationen wie Benutzernamen, Passwörter, Kreditkartennummern und andere persönliche Daten von dem infizierten Computer sammelt. Nach der Erfassung werden diese Daten dann an einen vom Angreifer kontrollierten Remote-Server gesendet. Informationen und technische Details zum Album Stealer wurden in einem Bericht von Sicherheitsforschern enthüllt.
Die Bedrohungsfähigkeiten des Albumdiebs
Der Name der Bedrohung basiert auf der Ködertechnik, mit der ahnungslose Opfer angezogen und ausgetrickst werden – der Album Stealer gibt sich als Fotoalbum aus, das Bilder von Erwachsenen enthält. Währenddessen führt die Malware im Hintergrund des Systems verschiedene schädliche Aktionen aus.
Der Album Stealer verwendet Seitenladetechniken, um beschädigte DLLs auszuführen und eine Erkennung zu vermeiden. Es sammelt Cookies und gespeicherte Anmeldeinformationen von Webbrowsern auf dem Computer des Opfers sowie Informationen von Facebook Ads Manager, Facebook Business-Konten und Facebook-API-Grafikseiten. Genauer gesagt versucht der Album Stealer aus diesen Quellen, die Konto-IDs, Namen, Erstellungszeiten, Überprüfungsstatus, zulässigen Rollen, erweiterten Credits, abgerechneten Beträge, Abrechnungszeiträume und mehr der Opfer zu extrahieren. Darüber hinaus kann der Dieb vertrauliche Details aus einer Reihe verschiedener Browser sammeln – Chrome, Firefox, Edge, Opera und Brave.
Um mehrere seiner grundlegenden Zeichenfolgen und Daten zu maskieren, verwendet Album Stealer Verschleierung durch die ConcurrentDictionary-Klasse. Sobald es alle notwendigen Informationen von einem infizierten System gesammelt hat, sendet es sie an einen Command-and-Control-Server. Es wird angenommen, dass sich die für diese Angriffe verantwortliche Bedrohungsgruppe in Vietnam befindet.
Album Die Infektionskette des Stealers
Die Album Stealer-Angriffe verwenden Social-Engineering-Taktiken, die mit der Erstellung gefälschter Facebook-Profilseiten beginnen, die Bilder von Frauen für Erwachsene enthalten. Diese Profile sollen Opfer dazu verleiten, auf einen Link zuzugreifen, um ein Album herunterzuladen, das die versprochenen Bilder enthält. Sobald der Link jedoch einmal angeklickt wurde, leitet er die Opfer entweder zu einem beschädigten ZIP-Archiv weiter, das Malware-Payloads enthält. Die ZIP-Datei wird entweder auf Microsoft OneDrive oder einer kompromittierten Website gehostet, die solche unsicheren Dateien enthält. Durch das Herunterladen und Öffnen des Archivs setzen die Opfer ihre Systeme unwissentlich Malware und anderen schädlichen Inhalten aus.
