Acreed Stealer

Acreed er en moderne informationstyveri, der hurtigt er steget op i rækken af de mest udbredte tyve. Fordi den specifikt er rettet mod legitimationsoplysninger, browserartefakter, beskedapps og kryptovaluta-tegnebøger, kan en enkelt vellykket infektion føre til tyveri af legitimationsoplysninger, kaprede kryptooverførsler, kontoovertagelser og langvarig persistens på en offermaskine. Det er derfor afgørende at beskytte endpoints og brugeradfærd: Når følsomme data forlader en enhed, er det ofte umuligt at gendanne det fuldt ud.

Acreed går efter digitale aktiver af høj værdi

Acreed fokuserer på data, der har umiddelbar monetær værdi eller muliggør kontoovertagelse:

• gemte adgangskoder, cookies og autofyldningsposter fra browsere (Brave, Chrome, Edge)
• browserbaserede og system-kryptovaluta-wallets (både komplette klient- og udvidelseswallets),
• kreditkortdata og data fra beskedapps, der kan misbruges til svindel eller social manipulation.

Acreed leder aktivt efter en bred vifte af wallet-software og browserudvidelser, herunder (men ikke begrænset til) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink og Trust. Ved at opregne både installerede applikationer og browserudvidelsesmapper maksimerer den oddsene for at finde nøgler, seed-fraser, private JSON-filer eller andet wallet-materiale.

Sådan fungerer malwaren

Acreed leveres typisk via en loader (ShadowLoader) og følger en flertrins injektions- og opsamlingsmodel:

• ShadowLoader sletter to PE-filer, der er pakket ind i en legitim WebView2 DLL – denne legitime wrapper hjælper indlæseren med at undgå simpel detektion og signaturtjek.
• Når Acreed kører, opregner den browserens 'brugerdata'-mapper (bogmærker, historik, cookies, cache, udvidelser, autofyld og gemte loginoplysninger) og scanner efter wallet-filer og udvidelsesdata.
• Den indsamler data fra beskedapps og andre personlige filer, der kan misbruges i opfølgende angreb.
• Afgørende er det, at Acreed inkluderer transaktionskapningsfunktioner: det kan erstatte tegnebogsadresser vist på websider, ændre QR-koder, erstatte udklipsholderens indhold og registrere indtastede/indsendte tegnebogsadresser - alt sammen beregnet til at omdirigere penge til angriberkontrollerede tegnebøger.

Usædvanlige kommando-og-kontrol (C2) teknikker

Acreed bruger atypiske offentlige kilder til konfiguration og C2, hvilket hjælper dem med at blande legitim trafik med ondsindede signaler:

• Nogle eksempler henter C2-information fra en smart kontrakt, der er implementeret på BNB Smart Chain Testnet.
• Andre eksempler bruger offentlige opslag på platforme som Steam til at kode kontroldata.
  Disse teknikker gør C2-opdagelse mere udfordrende og komplicerer detektionsregler, der kun fokuserer på klassiske C2-domæner.

Angribere, der leverer Acreed, anvender en bred vifte af infektionsruter:
piratkopieret software og crackede installationsprogrammer, malvertising, teknisk support-svindel, e-mailvedhæftninger og ondsindede links, tredjepartsopdateringer og -downloadere, P2P-netværk, inficerede USB-enheder og udnyttelse af ikke-opdateringer. Denne bredde betyder, at brugere kan blive eksponeret gennem både direkte phishing og hverdagens risikable downloads.

Hvorfor Acreed er farligt

Acreed kombinerer fokuseret målretning af krypto-wallets med bred browser- og beskeddatatyveri, og den bruger en diskret flertrins-loader og ukonventionelle C2-kanaler til at komplicere detektion. Dens evne til at kapre transaktioner (manipulation af websider/QR/udklipsholdere) konverterer stjålne data til næsten øjeblikkeligt økonomisk tab, hvilket gør forebyggelse og hurtig inddæmning afgørende. Styrk endpoint-kontroller, reducer lagrede hemmeligheder, og behandl enhver bekræftet infektion som en hændelse med høj hastende virkning.