Akira Stealer

Akira on tietoa varastava haittaohjelma, joka on saatavilla omistetulla verkkosivustolla ja toimii Malware-as-a-Service (MaaS) -palveluna nimellä Akira Undetector. Tämä verkkoalusta tarjoaa käyttäjäystävällisen käyttöliittymän uusien stealer-binääriesiintymien luomiseen sekä yksityiskohtaiset ohjeet haittaohjelman tehokkaaseen käyttöön. Se käyttää Telegram-kanavaa päivityksiin ja komento- ja ohjausominaisuuksiin.

Tämä monipuolinen haittaohjelma osaa poimia tietoja verkkoselaimista, mukaan lukien tallennetut kirjautumistiedot ja maksukorttitiedot. Lisäksi se suorittaa perusteellisen koko järjestelmän kattavan tarkistuksen kerätäkseen erilaisia tietopisteitä, kuten käyttäjätunnuksia, järjestelmätunnisteita, laitteiston tietoja, asennettujen ohjelmistojen luetteloita ja verkkokokoonpanoja. Varastetut tiedot ladataan myöhemmin uhkatekijän tilille GoFile-verkkotallennuspalvelussa ja heidän Discord-pikaviestitililleen.

Akira Stealerissä havaittuja häiritseviä ominaisuuksia

Akira Stealer käyttää monimutkaista infektioprosessia useilla kerroksilla hämärtääkseen koodinsa ja välttääkseen havaitsemisen. Uhkatoimija hyödyntää toiminnassaan erilaisia alustoja, mukaan lukien Telegram, Command and Control (C2) -palvelin ja GitHub. Lisäksi uhkatekijä väittää rohkeasti, että heidän haittaohjelmansa on "Fully Undetectable" (FUD). He ylläpitävät Telegram-kanavaa nimeltä "Akira", jolla on noin 358 tilaajaa ja tarjoavat palvelujaan Malware-as-a-Service-verkkotunnuksen kautta.

Tutkijat analysoivat Akira Stealer -tiedostoa nimeltä "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd". Tämä tiedosto oli CMD-skripti, joka sisälsi obfusoitua koodia. Suorituksen yhteydessä se talletti nykyiseen työhakemistoon hidden.bat-kotatiedoston, joka myös onnistui välttämään havaitsemisen. Tämä erätiedosto sisälsi hämärtyneen PowerShell-komentosarjan, joka integroi tmp.vbs-tiedoston suoritettaviksi csscript.exe-prosessin avulla.

Tietovarkauksien osalta haittaohjelma perustaa kansion, jossa on vaarantuneen tietokoneen nimi, johon varastetut tiedot tallennetaan. Myöhemmin se käynnistää tietojen poimimisen useista verkkoselaimista, mukaan lukien Microsoft Edge, Google Chrome, Opera, Mozilla Firefox ja 14 muuta selainta.

Lisäksi varastaja osaa kohdistaa taloudelliset tiedot, jotka kattavat tallennetut luottokorttitiedot ja kirjautumistiedot. Se myös kerää kirjanmerkkitietoja, lompakon laajennustietoja, kaappaa kuvakaappauksia ja paljon muuta.

Tietoa varastavat haittaohjelmat voivat aiheuttaa vakavia seurauksia uhreille

Akira on haitallinen tietoa varastava haittaohjelma, joka toimii Malware-as-a-Service (MaaS) -mallilla, erityisen vaarallinen haittaohjelmamuoto, joka voi aiheuttaa merkittävää haittaa sekä organisaatioille että yksittäisille käyttäjille. Sitä levitetään aktiivisesti erillisen verkkoportaalin kautta, ja se käyttää Telegram-kanavaa jakeluun, samalla kun se suodattaa hienovaraisesti runsaasti arkaluontoisia tietoja vaarantuneista järjestelmistä välttäen havaitsemisen.

Uhkatoimijat muokkaavat jatkuvasti tekniikoitaan säilyttääkseen havaitsemattomuuden pitkällä aikavälillä, mikä tekee heidän pahantahtoisesta luomuksestaan monipuolista ja tarjoaa heille tehokkaan hallinnan tartunnan saaneisiin järjestelmiin. Telegram-kanavan kautta välitetyt säännölliset päivitykset auttavat kyberrikollisia edistämään haitallisia tavoitteitaan.

Tehokkain tapa suojautua Akira Stealeria vastaan on olla valppaana käsiteltäessä epäilyttäviä linkkejä ja sähköpostin liitteitä. Käyttäjien on ehdottomasti ymmärrettävä, että jopa luotettavalta vaikuttavat lähteet voivat toimia tartunta- ja tietovarkauksien kanavina. Järjestelmän, verkon ja sovellusten suojauksen vahvistaminen voi merkittävästi vähentää tartuntariskiä. Yhtä tärkeää on ajantasaisten haittaohjelmien torjuntaohjelmistojen käyttö yhdessä mukautuvien organisaation tietoturvakäytäntöjen kanssa vankan suojan varmistamiseksi.