Acreed varastaja

Acreed on kaasaegne infovaras, mis on kiiresti tõusnud kõige levinumate varastajate hulka. Kuna see sihib spetsiaalselt volitusi, brauseri artefakte, sõnumsiderakendusi ja krüptovaluuta rahakotte, võib üks edukas nakatumine viia volituste varguseni, krüptoülekannete kaaperdamiseni, kontode ülevõtmiseni ja pikaajalise säilimiseni ohvri masinas. Seetõttu on lõpp-punktide ja kasutajakäitumise kaitsmine kriitilise tähtsusega: kui tundlikud andmed seadmest lahkuvad, on neid sageli võimatu täielikult taastada.

Acreed jahib kõrge väärtusega digitaalseid varasid

Acreed keskendub andmetele, millel on kohene rahaline väärtus või mis võimaldavad konto ülevõtmist:

• brauserite (Brave, Chrome, Edge) salvestatud paroolid, küpsised ja automaatse täitmise kirjed
• brauseripõhised ja süsteemsed krüptovaluuta rahakotid (nii täiskliendi kui ka laiendusrahakotid),
• krediitkaardiandmed ja sõnumsiderakenduste andmed, mida saab pettuse või sotsiaalse manipuleerimise eesmärgil kuritarvitada.

Acreed otsib aktiivselt laia valikut rahakotitarkvara ja brauserilaiendusi, sealhulgas (kuid mitte ainult) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink ja Trust. Loendades nii installitud rakendusi kui ka brauserilaienduste kaustu, maksimeerib see võtmete, seemnefraaside, privaatsete JSON-failide või muu rahakotimaterjali leidmise tõenäosust.

Kuidas pahavara töötab

Acreedi tarnitakse tavaliselt laaduri (ShadowLoader) abil ja see järgib mitmeastmelist sissepritse- ja kogumismudelit:

• ShadowLoader eemaldab kaks PE-faili, mis on pakitud legitiimse WebView2 DLL-iga – see legitiimne ümbris aitab laaduril vältida lihtsaid tuvastus- ja allkirjakontrolle.
• Kui Acreed töötab, loetleb see brauseri „kasutajaandmete” kataloogid (järjehoidjad, ajalugu, küpsised, vahemälu, laiendused, automaatne täitmine ja salvestatud mandaadid) ning otsib rahakotifaile ja laiendusandmeid.
• See kogub sõnumsiderakenduste andmeid ja muid isiklikke faile, mida saab järelrünnakutes kuritarvitada.
• Oluline on see, et Acreedil on tehingute kaaperdamise võimalused: see suudab asendada veebilehtedel kuvatavaid rahakoti aadresse, muuta QR-koode, asendada lõikelaua sisu ja jäädvustada sisestatud/esitatud rahakoti aadresse – kõik see on mõeldud raha suunamiseks ründaja kontrolli all olevatesse rahakottidesse.

Ebatavalised juhtimis- ja kontrollitehnikad (C2)

Acreed kasutab konfigureerimiseks ja C2-ks ebatüüpilisi avalikke allikaid, mis aitavad tal segada seaduslikku liiklust pahatahtlike signaalidega:

• Mõned näidised hangivad C2 teavet BNB nutika ahela testvõrgus juurutatud nutikast lepingust.
• Teised näidised kasutavad kontrollandmete kodeerimiseks avalikke postitusi platvormidel nagu Steam.
  Need meetodid muudavad C2 avastamise keerulisemaks ja raskendavad tuvastusreegleid, mis keskenduvad ainult klassikalistele C2 domeenidele.

Acreedi levitavad ründajad kasutavad laia valikut nakatumismarsruute:
piraattarkvara ja kräkitud installiprogrammid, pahavara levitamine, tehnilise toe pettused, e-kirjade manused ja pahatahtlikud lingid, kolmandate osapoolte värskendajad ja allalaadijad, P2P-võrgud, nakatunud USB-seadmed ja parandamata tarkvara ärakasutamine. See ulatus tähendab, et kasutajad võivad olla haavatavad nii otsese andmepüügi kui ka igapäevaste riskantsete allalaadimiste kaudu.

Miks Acreed on ohtlik

Acreed ühendab krüptorahakottide sihtimise laiaulatusliku brauseri- ja sõnumsideandmete vargusega ning kasutab tuvastamise keeruliseks muutmiseks salajast mitmeastmelist laadurit ja ebatavalisi C2-kanaleid. Selle võime tehinguid kaaperdada (veebilehe/QR-koodi/lõikelaua manipuleerimine) muudab varastatud andmed peaaegu koheseks rahaliseks kahjuks, muutes ennetamise ja kiire ohjeldamise oluliseks. Tugevdage lõpp-punktide kontrolli, vähendage salvestatud saladusi ja käsitlege iga kinnitatud nakatumist kiireloomulise intsidendina.