Acreed Stealer
Acreed je moderní informační stealer, který se rychle zařadil mezi nejrozšířenější stealery. Protože se konkrétně zaměřuje na přihlašovací údaje, artefakty prohlížeče, aplikace pro zasílání zpráv a kryptoměnové peněženky, může i jediná úspěšná infekce vést ke krádeži přihlašovacích údajů, zneužití kryptoměnových převodů, převzetí kontroly nad účty a dlouhodobému uchovávání dat na počítači oběti. Ochrana koncových bodů a chování uživatelů je proto zásadní: jakmile citlivá data opustí zařízení, je často nemožné je plně obnovit.
Obsah
Acreed se zaměřuje na vysoce hodnotná digitální aktiva
Acred se zaměřuje na data, která mají okamžitou peněžní hodnotu nebo umožňují převzetí kontroly nad účtem:
- uložená hesla, soubory cookie a položky automatického vyplňování z prohlížečů (Brave, Chrome, Edge),
- peněženky na kryptoměny založené na prohlížeči a systémové peněženky (plnohodnotné klientské i rozšiřující peněženky),
- údaje o kreditních kartách a údaje z aplikací pro zasílání zpráv, které lze zneužít k podvodům nebo sociálnímu inženýrství.
Acreed aktivně vyhledává širokou škálu softwaru pro peněženky a rozšíření prohlížeče, včetně (mimo jiné) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink a Trust. Výčtem nainstalovaných aplikací i složek rozšíření prohlížeče maximalizuje pravděpodobnost nalezení klíčů, seed frází, soukromých souborů JSON nebo jiného materiálu pro peněženku.
Jak malware funguje
Acreed je obvykle doručován pomocí zavaděče (ShadowLoader) a řídí se vícestupňovým modelem vkládání a sběru:
- ShadowLoader odstraňuje dva PE soubory, které jsou zabaleny v legitimní knihovně WebView2 DLL – tento legitimní obal pomáhá zavaděči vyhnout se jednoduché detekci a kontrolám podpisů.
- Jakmile je Acreed spuštěn, vyjmenovává adresáře prohlížeče s „uživatelskými daty“ (záložky, historie, soubory cookie, mezipaměť, rozšíření, automatické vyplňování a uložené přihlašovací údaje) a prohledává soubory peněženek a data rozšíření.
- Shromažďuje data z aplikací pro zasílání zpráv a další osobní soubory, které lze zneužít při následných útocích.
- Rozhodující je, že Acreed zahrnuje funkce pro únos transakcí: dokáže nahradit adresy peněženek zobrazené na webových stránkách, změnit QR kódy, nahradit obsah schránky a zachytit zadané/odeslané adresy peněženek – to vše s cílem přesměrovat finanční prostředky do peněženek ovládaných útočníkem.
Neobvyklé techniky velení a řízení (C2)
Acreed používá pro konfiguraci a C2 atypické veřejné zdroje, což mu pomáhá míchat legitimní provoz se škodlivými signály:
- Některé vzorky načítají informace C2 z inteligentní smlouvy nasazené v testovací síti BNB Smart Chain.
- Jiné vzorky používají veřejné příspěvky na platformách, jako je Steam, k zakódování řídicích dat.
Tyto techniky ztěžují objevování C2 domén a komplikují detekční pravidla, která se zaměřují pouze na klasické C2 domény.
Útočníci šířící Acreed používají širokou sadu infekčních cest:
pirátský software a cracknutá instalace, malware, podvody s technickou podporou, e-mailové přílohy a škodlivé odkazy, aktualizační a stahovací programy třetích stran, P2P sítě, infikovaná USB zařízení a zneužívání neopraveného softwaru. Tato šíře znamená, že uživatelé mohou být vystaveni jak přímému phishingu, tak každodennímu rizikovému stahování.
Proč je Acreed nebezpečný
Acreed kombinuje cílené cílení na krypto peněženky s rozsáhlým krádežím dat z prohlížečů a zpráv a používá nenápadný vícestupňový zavaděč a nekonvenční kanály C2, které komplikují detekci. Jeho schopnost unášet transakce (manipulace s webovými stránkami/QR kódy/schránkou) převádí ukradená data na téměř okamžitou finanční ztrátu, takže prevence a rychlé omezení jsou nezbytné. Posílejte kontroly koncových bodů, snižte počet uložených tajných dat a s každou potvrzenou infekcí zacházejte jako s incidentem s vysokou naléhavostí.
