Acreed-varas

Acreed on moderni tiedonvarastaja, joka on noussut nopeasti laajimmalle levinneiden varkaiden joukkoon. Koska se kohdistaa hyökkäyksensä erityisesti tunnistetietoihin, selaintiedostoihin, viestisovelluksiin ja kryptovaluuttalompakoihin, yksikin onnistunut tartunta voi johtaa tunnistetietojen varastamiseen, kryptovaluuttojen siirtojen kaappaamiseen, tilien haltuunottoon ja pitkäaikaiseen säilymiseen uhrikoneella. Päätepisteiden ja käyttäjäkäyttäytymisen suojaaminen on siksi kriittistä: kun arkaluonteiset tiedot poistuvat laitteelta, niitä on usein mahdotonta palauttaa täysin.

Acreed jahtaa arvokkaita digitaalisia omaisuuseriä

Acreed keskittyy dataan, jolla on välitöntä rahallista arvoa tai joka mahdollistaa tilin haltuunoton:

• tallennetut salasanat, evästeet ja selainten (Brave, Chrome, Edge) automaattisesti täytetyt merkinnät
• selainpohjaiset ja järjestelmäpohjaiset kryptovaluuttalompakot (sekä täysversio- että laajennuslompakot),
• luottokorttitiedot ja viestisovellusten tiedot, joita voidaan väärinkäyttää petoksiin tai sosiaaliseen manipulointiin.

Acreed etsii aktiivisesti laajan valikoiman lompakko-ohjelmistoja ja selainlaajennuksia, mukaan lukien (mutta ei rajoittuen) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink ja Trust. Listaamalla sekä asennetut sovellukset että selainlaajennusten kansiot se maksimoi avainten, seed-lausekkeiden, yksityisten JSON-tiedostojen tai muun lompakkomateriaalin löytämisen todennäköisyyden.

Miten haittaohjelma toimii

Acreed toimitetaan tyypillisesti kuormaajan (ShadowLoader) kautta, ja se noudattaa monivaiheista ruiskutus- ja keräysmallia:

• ShadowLoader pudottaa kaksi PE-tiedostoa, jotka on kääritty lailliseen WebView2 DLL -tiedostoon – tämä laillinen kääre auttaa lataajaa välttämään yksinkertaiset tunnistus- ja allekirjoitustarkistukset.
• Kun Acreed on käynnissä, se luetteloi selaimen käyttäjätietohakemistot (kirjanmerkit, historia, evästeet, välimuisti, laajennukset, automaattinen täyttö ja tallennetut tunnistetiedot) ja etsii lompakkotiedostoja ja laajennustietoja.
• Se kerää viestisovellusten tietoja ja muita henkilökohtaisia tiedostoja, joita voidaan käyttää väärin jatkohyökkäyksissä.
• Ratkaisevasti Acreed sisältää tapahtumien kaappaamiseen liittyviä ominaisuuksia: se voi korvata verkkosivuilla näkyvät lompakko-osoitteet, muuttaa QR-koodeja, korvata leikepöydän sisällön ja tallentaa kirjoitettuja/lähetettyjä lompakko-osoitteita – kaikki tämä on tarkoitettu ohjaamaan varoja hyökkääjien hallitsemiin lompakoihin.

Epätavalliset komento- ja hallintatekniikat (C2)

Acreed käyttää epätyypillisiä julkisia lähteitä konfigurointiin ja C2:een, mikä auttaa yhdistämään laillista liikennettä haitallisiin signaaleihin:

• Jotkin esimerkit hakevat C2-tietoja BNB Smart Chain Testnetissä käyttöönotetusta älysopimuksesta.
• Muissa esimerkeissä käytetään julkisia julkaisuja alustoilla, kuten Steam, koodaamaan ohjausdataa.
  Nämä tekniikat tekevät C2-löytämisestä haastavampaa ja monimutkaistavat tunnistussääntöjä, jotka keskittyvät vain klassisiin C2-alueisiin.

Acreediä levittävät hyökkääjät käyttävät laajaa valikoimaa tartuntareittejä:
piraattiohjelmistot ja krakatut asennusohjelmat, haitallinen mainonta, teknisen tuen huijaukset, sähköpostin liitetiedostot ja haitalliset linkit, kolmannen osapuolen päivitys- ja latausohjelmat, vertaisverkot, tartunnan saaneet USB-laitteet ja korjaamattomien ohjelmistojen hyväksikäyttö. Tämä laajuus tarkoittaa, että käyttäjät voivat altistua sekä suoralle tietojenkalasteluun että jokapäiväisiin riskialttiisiin latausten kautta.

Miksi Acreed on vaarallinen

Acreed yhdistää kryptolompakoiden kohdennetun kohdistamisen laajaan selain- ja viestitietojen varastamiseen, ja se käyttää huomaamatonta monivaiheista latausohjelmaa ja epätavanomaisia C2-kanavia havaitsemisen vaikeuttamiseksi. Sen kyky kaapata tapahtumia (verkkosivujen/QR-koodien/leikepöydän manipulointi) muuntaa varastetut tiedot lähes välittömiksi taloudellisiksi menetyksiksi, mikä tekee ennaltaehkäisystä ja nopeasta eristämisestä olennaista. Vahvista päätelaitteiden valvontaa, vähennä tallennettuja salaisuuksia ja käsittele vahvistettuja tartuntoja kiireellisinä tapauksina.