Akira Stealer

Το Akira είναι ένα κακόβουλο λογισμικό κλοπής πληροφοριών διαθέσιμο σε έναν αποκλειστικό ιστότοπο, το οποίο λειτουργεί ως Malware-as-a-Service (MaaS) με την ονομασία "Akira Undetector". Αυτή η διαδικτυακή πλατφόρμα προσφέρει μια φιλική προς τον χρήστη διεπαφή για τη δημιουργία νέων παρουσιών του δυαδικού συστήματος κλοπής, με λεπτομερείς οδηγίες για τον τρόπο αποτελεσματικής χρήσης του κακόβουλου λογισμικού. Χρησιμοποιεί ένα κανάλι Telegram για ενημερώσεις και δυνατότητες εντολών και ελέγχου.

Αυτό το ευέλικτο κακόβουλο λογισμικό είναι ικανό στην εξαγωγή δεδομένων από προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων αποθηκευμένων διαπιστευτηρίων σύνδεσης και πληροφοριών κάρτας πληρωμής. Επιπλέον, πραγματοποιεί μια ενδελεχή σάρωση σε όλο το σύστημα για τη συλλογή διαφόρων σημείων δεδομένων, όπως ονόματα χρηστών, αναγνωριστικά συστήματος, προδιαγραφές υλικού, καταχωρίσεις εγκατεστημένου λογισμικού και διαμορφώσεις δικτύου. Οι κλεμμένες πληροφορίες στη συνέχεια μεταφορτώνονται στον λογαριασμό του παράγοντα απειλής στην υπηρεσία διαχείρισης διαδικτυακού αποθηκευτικού χώρου «GoFile» και στον λογαριασμό άμεσων μηνυμάτων Discord.

Παρεμβατικές δυνατότητες που παρατηρήθηκαν στο Akira Stealer

Το Akira Stealer χρησιμοποιεί μια πολύπλοκη διαδικασία μόλυνσης με πολλαπλά στρώματα για να θολώσει τον κώδικά του και να διαφύγει τον εντοπισμό. Ο παράγοντας απειλών αξιοποιεί διάφορες πλατφόρμες για τις δραστηριότητές του, συμπεριλαμβανομένου του Telegram, ενός διακομιστή Command and Control (C2) και του GitHub. Επιπλέον, ο ηθοποιός της απειλής ισχυρίζεται ευθαρσώς ότι το κακόβουλο λογισμικό τους είναι «Πλήρως μη ανιχνεύσιμο» (FUD). Διατηρούν ένα κανάλι Telegram με το όνομα «Akira» με περίπου 358 συνδρομητές και προσφέρουν τις υπηρεσίες τους μέσω ενός τομέα Malware-as-a-Service.

Οι ερευνητές διεξήγαγαν μια ανάλυση ενός αρχείου Akira Stealer με το όνομα '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Αυτό το αρχείο ήταν ένα σενάριο CMD που περιείχε ασαφή κώδικα. Κατά την εκτέλεση, κατέθεσε ένα αρχείο δέσμης hidden.bat στον τρέχοντα κατάλογο εργασίας, το οποίο κατάφερε επίσης να αποφύγει τον εντοπισμό. Αυτό το αρχείο δέσμης περιείχε μια ασαφή δέσμη ενεργειών PowerShell που ενσωμάτωσε το αρχείο tmp.vbs για εκτέλεση χρησιμοποιώντας τη διαδικασία csscript.exe.

Όσον αφορά την κλοπή δεδομένων, το κακόβουλο λογισμικό δημιουργεί έναν φάκελο με το όνομα του παραβιασμένου υπολογιστή για την αποθήκευση των κλοπιμαίων πληροφοριών. Στη συνέχεια, ξεκινά την εξαγωγή δεδομένων από διάφορα προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων των Microsoft Edge, Google Chrome, Opera, Mozilla Firefox και 14 άλλων προγραμμάτων περιήγησης.

Επιπλέον, ο κλέφτης είναι ικανός στη στόχευση οικονομικών δεδομένων, συμπεριλαμβάνοντας αποθηκευμένα στοιχεία πιστωτικής κάρτας και διαπιστευτήρια σύνδεσης. Συγκεντρώνει επίσης δεδομένα σελιδοδεικτών, πληροφορίες επέκτασης πορτοφολιού, καταγράφει στιγμιότυπα οθόνης και πολλά άλλα.

Το κακόβουλο λογισμικό κλοπής πληροφοριών μπορεί να έχει σοβαρές συνέπειες για τα θύματα

Το Akira είναι ένα κακόβουλο κακόβουλο λογισμικό κλοπής πληροφοριών που λειτουργεί με το μοντέλο Malware-as-a-Service (MaaS), μια ιδιαίτερα επικίνδυνη μορφή κακόβουλου λογισμικού που μπορεί να προκαλέσει σημαντική βλάβη τόσο σε οργανισμούς όσο και σε μεμονωμένους χρήστες. Διαδίδεται ενεργά μέσω μιας αποκλειστικής διαδικτυακής πύλης και χρησιμοποιεί ένα κανάλι Telegram για διανομή, ενώ ταυτόχρονα εκμεταλλεύεται διακριτικά πληθώρα ευαίσθητων δεδομένων από παραβιασμένα συστήματα, αποφεύγοντας τον εντοπισμό.

Οι φορείς απειλών προσαρμόζουν συνεχώς τις τεχνικές τους για να διατηρήσουν τη μακροπρόθεσμη μη ανιχνευσιμότητα, καθιστώντας το κακόβουλο δημιούργημά τους ευέλικτο και παρέχοντάς τους αποτελεσματικό έλεγχο των μολυσμένων συστημάτων. Οι τακτικές ενημερώσεις που μεταδίδονται μέσω του καναλιού Telegram χρησιμεύουν για την περαιτέρω ενδυνάμωση των εγκληματιών του κυβερνοχώρου στην επιδίωξη των κακόβουλων ατζέντηδων τους.

Η πιο αποτελεσματική προσέγγιση για την προστασία από το Akira Stealer περιλαμβάνει την άσκηση επαγρύπνησης όταν αντιμετωπίζετε ύποπτους συνδέσμους και συνημμένα email. Είναι επιτακτική ανάγκη για τους χρήστες να αναγνωρίσουν ότι ακόμη και φαινομενικά αξιόπιστες πηγές μπορούν να χρησιμεύσουν ως αγωγοί για μόλυνση και κλοπή δεδομένων. Η ενίσχυση της ασφάλειας του συστήματος, του δικτύου και των εφαρμογών μπορεί να μειώσει ουσιαστικά τον κίνδυνο μόλυνσης. Εξίσου ζωτικής σημασίας είναι η χρήση ενημερωμένου λογισμικού κατά του κακόβουλου λογισμικού σε συνδυασμό με προσαρμοστικές οργανωτικές πολιτικές ασφάλειας για τη διασφάλιση ισχυρής προστασίας.