Acreed Stealer

Acreed je moderni kradljivac informacija koji se brzo popeo na rang najraširenijih kradljivaca. Budući da posebno cilja na vjerodajnice, artefakte preglednika, aplikacije za razmjenu poruka i kriptovalutne novčanike, jedna uspješna infekcija može dovesti do krađe vjerodajnica, otetih kripto transfera, preuzimanja računa i dugotrajnog zadržavanja na zaraženom računalu. Zaštita krajnjih točaka i ponašanja korisnika stoga je ključna: nakon što osjetljivi podaci napuste uređaj, često ih je nemoguće u potpunosti oporaviti.

Acreed cilja na visokovrijednu digitalnu imovinu

Acreed se fokusira na podatke koji imaju neposrednu novčanu vrijednost ili omogućuju preuzimanje računa:

• spremljene lozinke, kolačići i unosi za automatsko popunjavanje iz preglednika (Brave, Chrome, Edge),
• novčanici s kriptovalutama u pregledniku i sistemski novčanici (i puni klijentski i ekstenzijski novčanici),
• podaci o kreditnim karticama i podaci aplikacija za razmjenu poruka koji se mogu zloupotrijebiti za prijevaru ili socijalni inženjering.

Acreed aktivno traži širok raspon softvera za novčanike i proširenja preglednika, uključujući (ali ne ograničavajući se na) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink i Trust. Nabrajanjem instaliranih aplikacija i mapa proširenja preglednika, maksimizira vjerojatnost lociranja ključeva, početnih fraza, privatnih JSON datoteka ili drugog materijala za novčanike.

Kako zlonamjerni softver djeluje

Acreed se obično isporučuje putem programa za učitavanje (ShadowLoader) i slijedi višestupanjski model ubrizgavanja i prikupljanja:

• ShadowLoader ispušta dvije PE datoteke koje su omotane legitimnim WebView2 DLL-om - ovaj legitimni omotač pomaže učitavaču da izbjegne jednostavnu detekciju i provjeru potpisa.
• Nakon što se Acreed pokrene, nabraja direktorije preglednika s korisničkim podacima (oznake, povijest, kolačiće, predmemoriju, proširenja, automatsko popunjavanje i spremljene vjerodajnice) te skenira datoteke novčanika i podatke o proširenjima.
• Prikuplja podatke aplikacija za razmjenu poruka i druge osobne datoteke koje se mogu zloupotrijebiti u naknadnim napadima.
• Ključno je da Acreed uključuje mogućnosti krađe transakcija: može zamijeniti adrese novčanika prikazane na web stranicama, mijenjati QR kodove, zamijeniti sadržaj međuspremnika i uhvatiti unesene/poslane adrese novčanika - sve s ciljem preusmjeravanja sredstava na novčanike kojima upravljaju napadači.

Neobične tehnike zapovijedanja i upravljanja (C2)

Acreed koristi atipične javne izvore za konfiguraciju i C2, što mu pomaže da miješa legitimni promet sa zlonamjernim signalima:

• Neki primjeri dohvaćaju C2 informacije iz pametnog ugovora raspoređenog na BNB Smart Chain Testnetu.
• Drugi primjeri koriste javne objave na platformama poput Steama za kodiranje kontrolnih podataka.
  Ove tehnike otežavaju otkrivanje C2 i kompliciraju pravila detekcije koja se fokusiraju samo na klasične C2 domene.

Napadači koji isporučuju Acreed koriste širok skup alata za rute infekcije:
piratski softver i crackirani instalacijski programi, zlonamjerno oglašavanje, prijevare tehničke podrške, privitci e-pošte i zlonamjerne poveznice, programi za ažuriranje i preuzimanje trećih strana, P2P mreže, zaraženi USB uređaji i iskorištavanje nezakrpanog softvera. Ova širina znači da korisnici mogu biti izloženi i izravnom phishingu i svakodnevnim rizičnim preuzimanjima.

Zašto je Acreed opasan

Acreed kombinira usmjereno ciljanje kripto novčanika s krađom podataka iz preglednika i poruka te koristi prikriveni višestupanjski učitivač i nekonvencionalne C2 kanale kako bi otežao otkrivanje. Njegova sposobnost preuzimanja transakcija (manipulacija web stranicama/QR kodovima/međuspremnikom) pretvara ukradene podatke u gotovo trenutni financijski gubitak, što sprječavanje i brzo suzbijanje čini ključnima. Pojačajte kontrole krajnjih točaka, smanjite pohranjene tajne i tretirajte svaku potvrđenu infekciju kao incident visoke hitnosti.