Acreed Stealer
Acreed è un moderno ladro di informazioni che si è rapidamente affermato tra i più diffusi. Poiché prende di mira specificamente credenziali, artefatti del browser, app di messaggistica e wallet di criptovalute, una singola infezione riuscita può portare al furto di credenziali, trasferimenti di criptovalute dirottati, furto di account e persistenza a lungo termine sul computer della vittima. Proteggere gli endpoint e il comportamento degli utenti è quindi fondamentale: una volta che i dati sensibili lasciano un dispositivo, è spesso impossibile recuperarli completamente.
Sommario
Acreed punta su asset digitali di alto valore
Acreed si concentra sui dati che hanno un valore monetario immediato o che consentono l'acquisizione dell'account:
- password salvate, cookie e voci di compilazione automatica dai browser (Brave, Chrome, Edge),
- portafogli di criptovaluta basati su browser e di sistema (sia client completi che portafogli di estensione),
- dati delle carte di credito e dati delle app di messaggistica che possono essere utilizzati in modo improprio per frodi o ingegneria sociale.
Acreed è attivamente alla ricerca di un'ampia gamma di software per wallet ed estensioni per browser, tra cui (ma non solo) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink e Trust. Enumerando sia le applicazioni installate che le cartelle delle estensioni per browser, massimizza le probabilità di individuare chiavi, seed phrase, file JSON privati o altro materiale del wallet.
Come funziona il malware
L'acreed viene solitamente distribuito tramite un caricatore (ShadowLoader) e segue un modello di iniezione e raccolta multistadio:
- ShadowLoader rilascia due file PE racchiusi in una DLL WebView2 legittima: questo wrapper legittimo aiuta il caricatore a eludere i semplici controlli di rilevamento e firma.
- Una volta avviato, Acreed enumera le directory "Dati utente" del browser (segnalibri, cronologia, cookie, cache, estensioni, compilazione automatica e credenziali salvate) ed esegue la scansione dei file del portafoglio e dei dati delle estensioni.
- Raccoglie dati dalle app di messaggistica e altri file personali che possono essere sfruttati in attacchi successivi.
- Fondamentalmente, Acreed include funzionalità di dirottamento delle transazioni: può sostituire gli indirizzi dei portafogli mostrati sulle pagine web, alterare i codici QR, sostituire il contenuto degli appunti e catturare gli indirizzi dei portafogli digitati/inviati, il tutto allo scopo di dirottare i fondi verso i portafogli controllati dagli aggressori.
Tecniche insolite di comando e controllo (C2)
Acreed utilizza fonti pubbliche atipiche per la configurazione e il C2, il che gli consente di combinare traffico legittimo con segnali dannosi:
- Alcuni campioni recuperano le informazioni C2 da uno smart contract distribuito sulla BNB Smart Chain Testnet.
- Altri esempi utilizzano post pubblici su piattaforme come Steam per codificare i dati di controllo.
Queste tecniche rendono la scoperta del C2 più impegnativa e complicano le regole di rilevamento che si concentrano solo sui domini C2 classici.
Gli aggressori che distribuiscono Acreed utilizzano un ampio set di canali di infezione:
Software pirata e programmi di installazione craccati, malvertising, truffe di supporto tecnico, allegati e-mail e link dannosi, programmi di aggiornamento e download di terze parti, reti P2P, dispositivi USB infetti e sfruttamento di software non aggiornato. Questa ampiezza significa che gli utenti possono essere esposti sia tramite phishing diretto che tramite download rischiosi quotidiani.
Perché Acreed è pericoloso
Acreed combina un targeting mirato dei portafogli crittografici con un furto di dati su larga scala da browser e messaggistica, e utilizza un caricatore multistadio furtivo e canali C2 non convenzionali per complicare il rilevamento. La sua capacità di dirottare le transazioni (manipolazione di pagine web/QR/appunti) converte i dati rubati in perdite finanziarie quasi immediate, rendendo essenziali la prevenzione e il rapido contenimento. Rafforzate i controlli degli endpoint, riducete i segreti archiviati e trattate qualsiasi infezione confermata come un incidente ad alta urgenza.
