Acreed Stealer

Acreed е съвременна програма за кражба на информация, която бързо се издигна сред най-разпространените крадци. Тъй като е насочена специално към идентификационни данни, артефакти на браузъра, приложения за съобщения и портфейли с криптовалута, една единствена успешна инфекция може да доведе до кражба на идентификационни данни, отвлечени крипто преводи, поглъщане на акаунти и дългосрочно запазване на данните на машината на жертвата. Следователно защитата на крайните точки и потребителското поведение е от решаващо значение: след като чувствителните данни напуснат устройството, често е невъзможно да бъдат напълно възстановени.

Acreed се стреми към високоценни цифрови активи

Acreed се фокусира върху данни, които имат незабавна парична стойност или позволяват поемане на контрол над акаунта:

• запазени пароли, „бисквитки“ и записи за автоматично попълване от браузъри (Brave, Chrome, Edge),
• портфейли за криптовалута, базирани на браузър и системни (както пълноценни клиентски, така и разширени портфейли),
• данни за кредитни карти и данни от приложения за съобщения, които могат да бъдат злоупотребени за измами или социално инженерство.

Acreed активно търси широка гама от софтуер за портфейли и разширения за браузър, включително (но не само) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink и Trust. Чрез изброяване както на инсталирани приложения, така и на папки с разширения за браузър, той увеличава максимално шансовете за намиране на ключове, seed фрази, частни JSON файлове или други материали за портфейли.

Как работи зловредният софтуер

Acreed обикновено се доставя чрез зареждаща програма (ShadowLoader) и следва многоетапен модел на инжектиране и събиране:

• ShadowLoader премахва два PE файла, които са обвити с легитимен WebView2 DLL файл – този легитимен обвивка помага на зареждащия механизъм да избегне прости проверки за откриване и подпис.
• След като Acreed се стартира, той изброява директориите с „Потребителски данни“ на браузъра (отметки, история, бисквитки, кеш, разширения, автоматично попълване и запазени идентификационни данни) и сканира за файлове с портфейли и данни за разширения.
• Той събира данни от приложения за съобщения и други лични файлове, които могат да бъдат злоупотребени при последващи атаки.
• Най-важното е, че Acreed включва възможности за отвличане на транзакции: може да замества адресите на портфейли, показани на уеб страници, да променя QR кодове, да замества съдържанието на клипборда и да улавя въведени/изпратени адреси на портфейли – всичко това с цел пренасочване на средства към контролирани от нападателя портфейли.

Необичайни техники за командване и контрол (C2)

Acreed използва нетипични публични източници за конфигурация и C2, което му помага да смесва легитимен трафик със злонамерени сигнали:

• Някои примери извличат C2 информация от интелигентен договор, разположен в тестовата мрежа на BNB Smart Chain.
• Други примери използват публични публикации в платформи като Steam, за да кодират контролни данни.
  Тези техники правят откриването на C2 по-трудно и усложняват правилата за откриване, които се фокусират само върху класически C2 домейни.

Атакуващите, разпространяващи Acreed, използват широк набор от инструменти за заразяване:
пиратски софтуер и кракнати инсталатори, злонамерена реклама, измами с техническа поддръжка, прикачени файлове към имейли и злонамерени връзки, програми за актуализиране и изтегляне на трети страни, P2P мрежи, заразени USB устройства и експлоатация на непатчен софтуер. Тази широта на обхвата означава, че потребителите могат да бъдат изложени на риск както чрез директен фишинг, така и чрез ежедневни рискови изтегляния.

Защо Acreed е опасен

Acreed комбинира фокусирано насочване към крипто портфейли с кражба на данни от браузъри и съобщения, като използва скрит многоетапен зареждащ механизъм и неконвенционални C2 канали, за да усложни откриването. Способността му да отвлича транзакции (манипулация с уеб страници/QR кодове/клипборд) превръща откраднатите данни в почти незабавна финансова загуба, което прави превенцията и бързото им ограничаване от съществено значение. Засилете контрола върху крайните точки, намалете съхраняваните тайни и третирайте всяка потвърдена инфекция като инцидент с висока спешност.