Akira Stealer

Akira és un programari maliciós que roba informació disponible en un lloc web dedicat, que funciona com a programari maliciós com a servei (MaaS) amb el nom "Akira Undetector". Aquesta plataforma web ofereix una interfície fàcil d'utilitzar per generar noves instàncies del binari stealer, amb instruccions detallades sobre com utilitzar el programari maliciós de manera eficaç. Fa ús d'un canal de Telegram per a actualitzacions i capacitats de comandament i control.

Aquest programari maliciós versàtil és capaç d'extreure dades dels navegadors web, incloses les credencials d'inici de sessió desades i la informació de la targeta de pagament. A més, realitza una exploració exhaustiva de tot el sistema per recopilar diversos punts de dades, com ara noms d'usuari, identificadors del sistema, especificacions de maquinari, llistats de programari instal·lat i configuracions de xarxa. La informació robada es penja posteriorment al compte de l'actor de l'amenaça al servei de gestió d'emmagatzematge en línia "GoFile" i al seu compte de missatgeria instantània de Discord.

Capacitats intrusives observades a Akira Stealer

Akira Stealer utilitza un procés d'infecció complex amb múltiples capes per ofuscar el seu codi i eludir la detecció. L'actor de l'amenaça aprofita diverses plataformes per a les seves operacions, com ara Telegram, un servidor de comandament i control (C2) i GitHub. A més, l'actor d'amenaces afirma amb valentia que el seu programari maliciós és "totalment indetectable" (FUD). Mantenen un canal de Telegram anomenat 'Akira' amb uns 358 subscriptors i ofereixen els seus serveis a través d'un domini Malware-as-a-Service.

Els investigadors van realitzar una anàlisi d'un fitxer Akira Stealer anomenat "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd". Aquest fitxer era un script CMD que contenia codi ofuscat. En executar-se, va dipositar un fitxer per lots hidden.bat al directori de treball actual, que també va aconseguir evadir la detecció. Aquest fitxer per lots contenia un script de PowerShell ofuscat que integrava el fitxer tmp.vbs per a l'execució mitjançant el procés csscript.exe.

Pel que fa al robatori de dades, el programari maliciós estableix una carpeta amb el nom de l'ordinador compromès per emmagatzemar la informació robada. Posteriorment, inicia l'extracció de dades de diversos navegadors web, inclosos Microsoft Edge, Google Chrome, Opera, Mozilla Firefox i 14 navegadors més.

A més, el lladre és capaç d'orientar les dades financeres, que inclou les dades de la targeta de crèdit desades i les credencials d'inici de sessió. També recopila dades d'adreces d'interès, informació sobre extensions de cartera, captura captures de pantalla i molt més.

El robatori d'informació pot tenir conseqüències greus per a les víctimes

Akira és un programari maliciós que roba informació maliciosa que funciona amb el model de programari maliciós com a servei (MaaS), una forma especialment perillosa de programari maliciós capaç d'infligir un dany important tant a les organitzacions com als usuaris individuals. Es propaga activament a través d'un portal web dedicat i empra un canal de Telegram per a la seva distribució, alhora que s'exfiltra discretament una gran quantitat de dades sensibles de sistemes compromesos, evitant la detecció.

Els actors de l'amenaça adapten contínuament les seves tècniques per mantenir la indetectabilitat a llarg termini, fent que la seva creació malèvola sigui versàtil i els proporcioni un control eficient sobre els sistemes infectats. Les actualitzacions periòdiques que es transmeten a través del canal de Telegram serveixen per empoderar encara més els ciberdelinqüents a l'hora de perseguir les seves agendes malicioses.

L'enfocament més eficaç per protegir-se de l'Akira Stealer consisteix a vigilar quan es tracten enllaços sospitosos i fitxers adjunts de correu electrònic. És imprescindible que els usuaris reconeguin que fins i tot fonts aparentment fiables poden servir com a conductes per a la infecció i el robatori de dades. Enfortir la seguretat del sistema, la xarxa i les aplicacions pot mitigar substancialment el risc d'infecció. Igualment vital és la utilització de programari anti-malware actualitzat juntament amb polítiques de seguretat organitzatives adaptatives per garantir una protecció sòlida.