アルバムスティーラー

情報を収集するマルウェアは、サイバー犯罪の世界ではよくあることです。 Album Stealer は、Facebook でアダルト コンテンツを探しているユーザーを標的とする、このカテゴリの新しい脅威ツールです。この脅威は悪意のあるキャンペーンを通じて拡散され、被害者のコンピューターから機密データを収集するために使用される可能性があります。感染したマシンから、ユーザー名、パスワード、クレジット カード番号、その他の個人データなどの情報を収集することによって機能します。収集されたデータは、攻撃者が制御するリモート サーバーに送信されます。 Album Stealer に関する情報と技術的な詳細は、セキュリティ研究者によるレポートで明らかになりました。

アルバムスティーラーの脅威的な能力

この脅威の名前は、疑いを持たない犠牲者を引き付けてだますために利用するルアー テクニックに基づいています。Album Stealer は、おとりの成人向け画像を含むフォト アルバムになりすまします。その間、マルウェアはシステムのバックグラウンドでさまざまな有害なアクションを実行します。

Album Stealer は、サイドローディング手法を利用して破損した DLL を実行し、検出を回避します。被害者のマシンの Web ブラウザーから Cookie と保存されている資格情報を収集するほか、Facebook 広告マネージャー、Facebook ビジネス アカウント、Facebook API グラフ ページから情報を収集します。具体的には、Album Stealer はこれらの情報源から、被害者のアカウント ID、名前、作成時間、検証ステータス、許可された役割、拡張クレジット、請求金額、請求期間などを抽出しようとします。さらに、スティーラーは、さまざまなブラウザー (Chrome、Firefox、Edge、Opera、Brave) から機密情報を収集できます。

基本的な文字列とデータのいくつかをマスクするために、Album Stealer は ConcurrentDictionary クラスによる難読化を採用しています。感染したシステムから必要な情報をすべて収集すると、コマンド アンド コントロール サーバーに送信します。これらの攻撃を開始した脅威グループは、ベトナムにあると考えられています。

アルバムスティーラーの感染連鎖

Album Stealer 攻撃は、女性の成人向け画像を含む偽の Facebook プロフィール ページの作成から始まるソーシャル エンジニアリング戦術を使用します。これらのプロファイルは、約束された画像を含むアルバムをダウンロードするためのリンクに被害者をアクセスさせるように設計されています。ただし、リンクをクリックすると、被害者はマルウェアのペイロードを含む破損した zip アーカイブにリダイレクトされます。 zip ファイルは、Microsoft OneDrive にホストされているか、そのような安全でないファイルを含む侵害された Web サイトにホストされています。アーカイブをダウンロードして開くことで、被害者は無意識のうちにシステムをマルウェアやその他の有害なコンテンツにさらします。