Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Lladre d'Acreed

Lladre d'Acreed

El Mezo el Programari maliciós, Ladrons
Traduir a:

Acreed és un lladre d'informació modern que ha ascendit ràpidament a les files dels lladres més estesos. Com que ataca específicament credencials, artefactes del navegador, aplicacions de missatgeria i moneders de criptomonedes, una sola infecció reeixida pot provocar robatori de credencials, transferències de criptomonedes segrestades, abús de comptes i persistència a llarg termini en una màquina víctima. Per tant, protegir els punts finals i el comportament dels usuaris és fonamental: un cop les dades sensibles surten d'un dispositiu, sovint és impossible recuperar-les completament.

Acreed aposta pels actius digitals d’alt valor

Acreed se centra en dades que tenen un valor monetari immediat o permeten la presa de control de comptes:

  • contrasenyes, galetes i entrades d'autoemplenament desades dels navegadors (Brave, Chrome, Edge),
  • moneders de criptomoneda basats en navegador i de sistema (tant carters de client complets com carters d'extensió),
  • dades de targetes de crèdit i dades d'aplicacions de missatgeria que es poden utilitzar de manera abusiva per a frau o enginyeria social.

Acreed busca activament una àmplia gamma de programari de moneders i extensions de navegador, incloent-hi (entre d'altres) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink i Trust. En enumerar tant les aplicacions instal·lades com les carpetes d'extensions del navegador, maximitza les probabilitats de localitzar claus, frases llavor, fitxers JSON privats o altre material de moneders.

Com funciona el programari maliciós

Acreed es lliura normalment mitjançant un carregador (ShadowLoader) i segueix un model d'injecció i recollida de diverses etapes:

  • ShadowLoader elimina dos fitxers PE que estan encapsulats amb una DLL WebView2 legítima; aquest contenidor legítim ajuda el carregador a evadir la detecció simple i les comprovacions de signatures.
  • Un cop Acreed s'està executant, enumera els directoris de "Dades d'usuari" del navegador (adreces d'interès, historial, galetes, memòria cau, extensions, autoemplenament i credencials desades) i escaneja els fitxers de cartera i les dades d'extensions.
  • Recopila dades d'aplicacions de missatgeria i altres fitxers personals que es poden fer servir de manera abusiva en atacs posteriors.
  • Crucialment, Acreed inclou capacitats de segrest de transaccions: pot substituir les adreces de cartera que es mostren a les pàgines web, alterar codis QR, substituir el contingut del porta-retalls i capturar adreces de cartera escrites/enviades, tot amb la intenció de desviar fons a carteres controlades per atacants.

Tècniques inusuals de comandament i control (C2)

Acreed utilitza fonts públiques atípiques per a la configuració i C2, cosa que l'ajuda a barrejar trànsit legítim amb senyals maliciosos:

  • Algunes mostres recuperen informació C2 d'un contracte intel·ligent desplegat a la xarxa de proves BNB Smart Chain.
  • Altres exemples utilitzen publicacions públiques en plataformes com ara Steam per codificar dades de control.
    Aquestes tècniques fan que el descobriment de C2 sigui més difícil i compliquen les regles de detecció que se centren només en els dominis C2 clàssics.

Els atacants que injecten Acreed utilitzen un ampli conjunt d'eines de rutes d'infecció:
programari pirata i instal·ladors piratejats, publicitat maliciosa, estafes d'assistència tècnica, fitxers adjunts de correu electrònic i enllaços maliciosos, actualitzadors i descàrregues de tercers, xarxes P2P, dispositius USB infectats i explotació de programari sense pegats. Aquesta amplitud significa que els usuaris poden estar exposats tant a través de la suplantació d'identitat (phishing) directa com de descàrregues arriscades quotidianes.

Per què Acreed és perillós

Acreed combina la focalització específica de moneders criptogràfics amb un ampli robatori de dades de navegador i missatgeria, i utilitza un carregador furtiu de diverses etapes i canals C2 no convencionals per complicar la detecció. La seva capacitat per segrestar transaccions (manipulació de pàgines web/codis QR/porta-retalls) converteix les dades robades en pèrdues financeres gairebé immediates, cosa que fa que la prevenció i la contenció ràpida siguin essencials. Enforteix els controls dels endpoints, redueix els secrets emmagatzemats i tracta qualsevol infecció confirmada com un incident d'alta urgència.

Tendència

Més vist

Carregant...