Acreed Stealer

Acreed یک دزد اطلاعات مدرن است که به سرعت در میان گسترده‌ترین دزدها قرار گرفته است. از آنجا که به طور خاص اعتبارنامه‌ها، مصنوعات مرورگر، برنامه‌های پیام‌رسان و کیف پول‌های ارز دیجیتال را هدف قرار می‌دهد، یک آلودگی موفق می‌تواند منجر به سرقت اعتبارنامه‌ها، انتقال ارزهای دیجیتال ربوده شده، تصاحب حساب و ماندگاری طولانی مدت در دستگاه قربانی شود. بنابراین محافظت از نقاط پایانی و رفتار کاربر بسیار مهم است: هنگامی که داده‌های حساس از دستگاه خارج می‌شوند، اغلب بازیابی کامل آن غیرممکن است.

آکرید به سراغ دارایی‌های دیجیتال با ارزش بالا می‌رود

آکرید (Acreed) بر داده‌هایی تمرکز دارد که ارزش پولی فوری دارند یا امکان تصاحب حساب را فراهم می‌کنند:

• رمزهای عبور ذخیره شده، کوکی‌ها و ورودی‌های تکمیل خودکار از مرورگرها (Brave، Chrome، Edge)
• کیف پول‌های ارز دیجیتال مبتنی بر مرورگر و سیستم (هم کیف پول‌های کلاینت کامل و هم کیف پول‌های افزونه‌ای)
• داده‌های کارت اعتباری و داده‌های برنامه‌های پیام‌رسان که می‌توانند برای کلاهبرداری یا مهندسی اجتماعی مورد سوءاستفاده قرار گیرند.

Acreed به طور فعال طیف گسترده‌ای از نرم‌افزارهای کیف پول و افزونه‌های مرورگر، از جمله (اما نه محدود به) ArgentX، Binance، Coinbase، Crypto.com، Kasware، Martian، MetaMask، OKX، Phantom، Rabby، ReadyWallet، Ronin، Sui، ToonKeeper، TronLink و Trust را جستجو می‌کند. با شمارش برنامه‌های نصب شده و پوشه‌های افزونه مرورگر، احتمال یافتن کلیدها، عبارات بازیابی، فایل‌های خصوصی JSON یا سایر موارد کیف پول را به حداکثر می‌رساند.

نحوه عملکرد بدافزار

Acreed معمولاً از طریق یک لودر (ShadowLoader) تحویل داده می‌شود و از یک مدل تزریق و جمع‌آوری چند مرحله‌ای پیروی می‌کند:

• ShadowLoader دو فایل PE را که با یک DLL قانونی WebView2 پوشانده شده‌اند، رها می‌کند - این پوشش قانونی به لودر کمک می‌کند تا از شناسایی ساده و بررسی امضاها فرار کند.
• پس از اجرای Acreed، دایرکتوری‌های «داده‌های کاربر» مرورگر (بوک‌مارک‌ها، تاریخچه، کوکی‌ها، حافظه پنهان، افزونه‌ها، تکمیل خودکار و اعتبارنامه‌های ذخیره شده) را فهرست می‌کند و فایل‌های کیف پول و داده‌های افزونه را اسکن می‌کند.
• این بدافزار داده‌های برنامه پیام‌رسان و سایر فایل‌های شخصی را که می‌توانند در حملات بعدی مورد سوءاستفاده قرار گیرند، جمع‌آوری می‌کند.
• نکته‌ی مهم این است که Acreed شامل قابلیت‌های ربودن تراکنش است: می‌تواند آدرس‌های کیف پول نشان داده شده در صفحات وب را جایگزین کند، کدهای QR را تغییر دهد، محتوای کلیپ‌بورد را جایگزین کند و آدرس‌های کیف پول تایپ شده/ارسال شده را ضبط کند - همه این‌ها با هدف هدایت وجوه به کیف پول‌های تحت کنترل مهاجم انجام می‌شود.

تکنیک‌های غیرمعمول فرماندهی و کنترل (C2)

Acreed از منابع عمومی غیرمعمول برای پیکربندی و C2 استفاده می‌کند که به آن کمک می‌کند ترافیک قانونی را با سیگنال‌های مخرب ترکیب کند:

• برخی از نمونه‌ها اطلاعات C2 را از یک قرارداد هوشمند مستقر در شبکه آزمایشی زنجیره هوشمند BNB بازیابی می‌کنند.
• نمونه‌های دیگر از پست‌های عمومی در پلتفرم‌هایی مانند Steam برای رمزگذاری داده‌های کنترلی استفاده می‌کنند.
  این تکنیک‌ها، کشف C2 را چالش‌برانگیزتر کرده و قوانین تشخیصی را که فقط بر دامنه‌های کلاسیک C2 تمرکز دارند، پیچیده‌تر می‌کنند.

مهاجمانی که Acreed را منتشر می‌کنند، از مجموعه‌ای گسترده از مسیرهای آلوده‌سازی استفاده می‌کنند:
نرم‌افزارهای غیرقانونی و نصب‌کننده‌های کرک‌شده، تبلیغات مخرب، کلاهبرداری‌های پشتیبانی فنی، پیوست‌های ایمیل و لینک‌های مخرب، به‌روزرسانی‌ها و دانلودکننده‌های شخص ثالث، شبکه‌های P2P، دستگاه‌های USB آلوده و سوءاستفاده از نرم‌افزارهای وصله‌نشده. این گستردگی به این معنی است که کاربران می‌توانند از طریق فیشینگ مستقیم و دانلودهای پرخطر روزمره در معرض خطر قرار گیرند.

چرا آکرید خطرناک است؟

Acreed هدف‌گیری متمرکز کیف‌پول‌های ارز دیجیتال را با سرقت گسترده داده‌های مرورگر و پیام‌رسان ترکیب می‌کند و از یک لودر چند مرحله‌ای مخفیانه و کانال‌های غیرمتعارف C2 برای پیچیده کردن تشخیص استفاده می‌کند. توانایی آن در ربودن تراکنش‌ها (دستکاری صفحه وب/QR/کلیپ‌بورد) داده‌های سرقت شده را به ضرر مالی تقریباً فوری تبدیل می‌کند، و پیشگیری و مهار سریع را ضروری می‌سازد. کنترل‌های نقطه پایانی را تقویت کنید، اسرار ذخیره شده را کاهش دهید و هرگونه آلودگی تأیید شده را به عنوان یک حادثه با فوریت بالا در نظر بگیرید.