Acreed Stealer

Acreed هو برنامج حديث لسرقة المعلومات، وقد برز سريعًا ليصبح من أكثر برامج السرقة انتشارًا. ولأنه يستهدف تحديدًا بيانات الاعتماد، وآثار المتصفحات، وتطبيقات المراسلة، ومحافظ العملات المشفرة، فإن إصابة واحدة ناجحة قد تؤدي إلى سرقة بيانات الاعتماد، وعمليات نقل عملات مشفرة مخترقة، والاستيلاء على الحسابات، واستمرار الإصابة لفترة طويلة على جهاز الضحية. لذا، تُعد حماية نقاط النهاية وسلوك المستخدم أمرًا بالغ الأهمية: فبمجرد خروج البيانات الحساسة من الجهاز، غالبًا ما يكون من المستحيل استعادتها بالكامل.

شركة Acreed تستهدف الأصول الرقمية عالية القيمة

تركز Acreed على البيانات التي لها قيمة نقدية فورية أو تمكن من الاستحواذ على الحساب:

• كلمات المرور المحفوظة وملفات تعريف الارتباط وإدخالات التعبئة التلقائية من المتصفحات (Brave وChrome وEdge)،
• محافظ العملات المشفرة المستندة إلى المتصفح والنظام (كل من محافظ العميل الكاملة ومحافظ التمديد)،
• بيانات بطاقات الائتمان وبيانات تطبيقات المراسلة التي يمكن إساءة استخدامها لأغراض الاحتيال أو الهندسة الاجتماعية.

يبحث Acreed بنشاط عن مجموعة واسعة من برامج المحافظ وإضافات المتصفح، بما في ذلك (على سبيل المثال لا الحصر) ArgentX، وBinance، وCoinbase، وCrypto.com، وKasware، وMartian، وMetaMask، وOKX، وPhantom، وRabby، وReadyWallet، وRonin، وSui، وToonKeeper، وTronLink، وTrust. ومن خلال تعداد كلٍّ من التطبيقات المثبتة ومجلدات إضافات المتصفح، يُعزز Acreed فرص العثور على المفاتيح، والعبارات الأولية، وملفات JSON الخاصة، أو أي مواد أخرى متعلقة بالمحفظة.

كيف يعمل البرنامج الخبيث

يتم تسليم Acreed عادةً عبر أداة تحميل (ShadowLoader) ويتبع نموذج الحقن والتجميع متعدد المراحل:

• يقوم ShadowLoader بإسقاط ملفين PE مغلفين بـ DLL شرعي لـ WebView2 - يساعد هذا الغلاف الشرعي المحمل على التهرب من عمليات الكشف البسيطة وفحوصات التوقيع.
• بمجرد تشغيل Acreed، فإنه يقوم بإحصاء أدلة "بيانات المستخدم" في المتصفح (الإشارات المرجعية والسجل وملفات تعريف الارتباط والذاكرة المؤقتة والإضافات والتعبئة التلقائية وبيانات الاعتماد المحفوظة) ويقوم بالبحث عن ملفات المحفظة وبيانات الامتداد.
• يقوم بحصاد بيانات تطبيقات المراسلة والملفات الشخصية الأخرى التي يمكن إساءة استخدامها في هجمات لاحقة.
• الأمر الحاسم هو أن Acreed يتضمن قدرات اختطاف المعاملات: يمكنه استبدال عناوين المحفظة المعروضة على صفحات الويب، وتغيير رموز الاستجابة السريعة، واستبدال محتويات الحافظة، والتقاط عناوين المحفظة المكتوبة/المرسلة - وكل هذا يهدف إلى تحويل الأموال إلى محافظ يسيطر عليها المهاجمون.

تقنيات القيادة والتحكم غير العادية (C2)

تستخدم Acreed مصادر عامة غير نمطية للتكوين وC2، مما يساعدها في مزج حركة المرور المشروعة مع الإشارات الضارة:

• تسترجع بعض العينات معلومات C2 من عقد ذكي تم نشره على شبكة اختبار BNB Smart Chain.
• وتستخدم عينات أخرى منشورات عامة على منصات مثل Steam لتشفير بيانات التحكم.
  تجعل هذه التقنيات اكتشاف C2 أكثر تحديًا وتعقد قواعد الكشف التي تركز فقط على مجالات C2 الكلاسيكية.

يستخدم المهاجمون الذين ينقلون Acreed مجموعة واسعة من طرق العدوى:
البرامج المقرصنة وبرامج التثبيت غير المشفّرة، والإعلانات الخبيثة، وعمليات الاحتيال عبر الدعم الفني، ومرفقات البريد الإلكتروني والروابط الخبيثة، وبرامج التحديث والتنزيل من جهات خارجية، وشبكات النظير للنظير، وأجهزة USB المصابة، واستغلال البرامج غير المرقّعة. هذا الاتساع يعني أن المستخدمين معرضون للخطر من خلال التصيد الاحتيالي المباشر وعمليات التنزيل اليومية الخطرة.

لماذا يعتبر Acreed خطيرًا

يجمع Acreed بين الاستهداف المُركّز لمحافظ العملات الرقمية وسرقة بيانات المتصفحات والرسائل على نطاق واسع، ويستخدم مُحمّلًا سريًا متعدد المراحل وقنوات C2 غير تقليدية لتعقيد عملية الكشف. قدرته على اختطاف المعاملات (التلاعب بصفحات الويب/رموز الاستجابة السريعة/الحافظة) تُحوّل البيانات المسروقة إلى خسارة مالية شبه فورية، مما يجعل الوقاية والاحتواء السريع أمرًا بالغ الأهمية. عزّز ضوابط نقاط النهاية، وقلل من الأسرار المُخزّنة، وعامل أي إصابة مؤكدة كحادثة طارئة للغاية.