Zloděj Akira

Akira je malware kradoucí informace dostupný na vyhrazené webové stránce, fungující jako Malware-as-a-Service (MaaS) pod názvem „Akira Undetector“. Tato webová platforma nabízí uživatelsky přívětivé rozhraní pro generování nových instancí binárky zloděje, doplněné podrobnými pokyny, jak efektivně využít malware. Využívá kanál Telegram pro aktualizace a možnosti příkazů a řízení.

Tento všestranný malware umí extrahovat data z webových prohlížečů, včetně uložených přihlašovacích údajů a informací o platební kartě. Kromě toho provádí důkladné skenování celého systému, aby shromáždilo různé datové body, jako jsou uživatelská jména, systémové identifikátory, hardwarové specifikace, výpisy nainstalovaného softwaru a konfigurace sítě. Ukradené informace jsou následně nahrány na účet aktéra hrozby v online službě správy úložiště 'GoFile' a jeho účtu pro rychlé zasílání zpráv Discord.

Dotěrné schopnosti pozorované u zloděje Akira

Akira Stealer využívá komplexní proces infekce s více vrstvami, aby zatemnil svůj kód a vyhnul se detekci. Aktér ohrožení využívá pro své operace různé platformy, včetně Telegramu, serveru Command and Control (C2) a GitHubu. Kromě toho aktér hrozby směle tvrdí, že jejich malware je „plně nezjistitelný“ (FUD). Provozují telegramový kanál s názvem „Akira“ s přibližně 358 předplatiteli a nabízejí své služby prostřednictvím domény Malware-as-a-Service.

Výzkumníci provedli analýzu souboru Akira Stealer s názvem '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Tento soubor byl CMD skript obsahující zmatený kód. Po spuštění uložil do aktuálního pracovního adresáře dávkový soubor hidden.bat, kterému se také podařilo uniknout detekci. Tento dávkový soubor obsahoval obfuskovaný skript PowerShell, který integroval soubor tmp.vbs pro spuštění pomocí procesu csscript.exe.

Pokud jde o krádež dat, malware vytvoří složku s názvem napadeného počítače, do které se ukládají ukradené informace. Následně zahájí extrakci dat z různých webových prohlížečů, včetně Microsoft Edge, Google Chrome, Opera, Mozilla Firefox a dalších 14 prohlížečů.

Kromě toho je zloděj zběhlý v cílení finančních údajů, včetně uložených údajů o kreditní kartě a přihlašovacích údajů. Shromažďuje také data záložek, informace o rozšíření peněženky, pořizuje snímky obrazovky a mnoho dalšího.

Malware kradení informací může mít pro oběti vážné důsledky

Akira je škodlivý malware kradoucí informace fungující na modelu Malware-as-a-Service (MaaS), což je zvláště nebezpečná forma malwaru, která může způsobit značné škody organizacím i jednotlivým uživatelům. Aktivně se šíří prostřednictvím specializovaného webového portálu a využívá k distribuci kanál Telegram, a přitom diskrétně exfiltruje množství citlivých dat z kompromitovaných systémů a vyhýbá se detekci.

Aktéři hrozeb neustále přizpůsobují své techniky, aby si udrželi dlouhodobou nedetekovatelnost, čímž se jejich zlovolné stvoření stává všestranným a poskytuje jim účinnou kontrolu nad infikovanými systémy. Pravidelné aktualizace předávané prostřednictvím kanálu Telegram slouží k dalšímu posílení pravomocí kyberzločinců při prosazování jejich škodlivých programů.

Nejúčinnější přístup k ochraně proti zloději Akira zahrnuje ostražitost při práci s podezřelými odkazy a přílohami e-mailů. Je nezbytné, aby si uživatelé uvědomili, že i zdánlivě důvěryhodné zdroje mohou sloužit jako kanály pro infekci a krádeže dat. Posílení zabezpečení systému, sítě a aplikací může podstatně snížit riziko infekce. Stejně důležité je využití aktuálního antimalwarového softwaru ve spojení s adaptivními organizačními bezpečnostními politikami pro zajištění robustní ochrany.