Acreed zaglis
Acreed ir mūsdienīgs informācijas zaglis, kas ātri vien ir kļuvis par visizplatītāko zagļu sarakstu. Tā kā tas īpaši uzbrūk akreditācijas datiem, pārlūkprogrammas artefaktiem, ziņojumapmaiņas lietotnēm un kriptovalūtas makiem, pat viena veiksmīga inficēšana var izraisīt akreditācijas datu zādzību, nolaupītus kriptovalūtas pārskaitījumus, kontu pārņemšanu un ilgstošu datu noturēšanu upura datorā. Tāpēc ir kritiski svarīgi aizsargāt galapunktus un lietotāju uzvedību: tiklīdz sensitīvi dati atstāj ierīci, tos bieži vien nav iespējams pilnībā atgūt.
Satura rādītājs
Acreed dzenā pēc augstas vērtības digitālajiem aktīviem
Acreed koncentrējas uz datiem, kuriem ir tūlītēja monetāra vērtība vai kuri ļauj pārņemt kontu:
- saglabātās paroles, sīkfaili un automātiskās aizpildes ieraksti no pārlūkprogrammām (Brave, Chrome, Edge),
- pārlūkprogrammā balstīti un sistēmas kriptovalūtas maki (gan pilna klienta, gan paplašinājuma maki),
- kredītkaršu dati un ziņojumapmaiņas lietotņu dati, kurus var ļaunprātīgi izmantot krāpšanas vai sociālās inženierijas nolūkos.
Acreed aktīvi meklē plašu maku programmatūras un pārlūkprogrammas paplašinājumu klāstu, tostarp (bet ne tikai) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink un Trust. Uzskaitot gan instalētās lietojumprogrammas, gan pārlūkprogrammas paplašinājumu mapes, tas palielina atslēgu, sākuma frāžu, privātu JSON failu vai cita maka materiāla atrašanas iespējamību.
Kā darbojas ļaunprogrammatūra
Acreed parasti tiek piegādāts, izmantojot iekrāvēju (ShadowLoader), un tas atbilst daudzpakāpju iesmidzināšanas un savākšanas modelim:
- ShadowLoader ievieto divus PE failus, kas ir ietverti likumīgā WebView2 DLL failā — šis likumīgais apvalks palīdz ielādētājam izvairīties no vienkāršām noteikšanas un paraksta pārbaudēm.
- Kad Acreed darbojas, tas uzskaita pārlūkprogrammas “Lietotāja datu” direktorijus (grāmatzīmes, vēsturi, sīkfailus, kešatmiņu, paplašinājumus, automātisko aizpildīšanu un saglabātos akreditācijas datus) un skenē maka failus un paplašinājumu datus.
- Tas apkopo ziņojumapmaiņas lietotņu datus un citus personiskos failus, kurus var ļaunprātīgi izmantot turpmākos uzbrukumos.
- Svarīgi ir tas, ka Acreed ietver darījumu nolaupīšanas iespējas: tas var aizstāt tīmekļa lapās redzamās maku adreses, mainīt QR kodus, aizstāt starpliktuves saturu un uztvert ierakstītās/iesniegtās maku adreses — tas viss ir paredzēts, lai novirzītu līdzekļus uzbrucēju kontrolētiem makiem.
Neparastas komandvadības (C2) metodes
Acreed konfigurācijai un C2 izmanto netipiskus publiskos avotus, kas palīdz apvienot likumīgu datplūsmu ar ļaunprātīgiem signāliem:
- Daži paraugi iegūst C2 informāciju no viedā līguma, kas izvietots BNB viedās ķēdes testa tīklā.
- Citos paraugos kontroles datu kodēšanai tiek izmantotas publiskas ziņas tādās platformās kā Steam.
Šīs metodes padara C2 atklāšanu sarežģītāku un sarežģī noteikšanas noteikumus, kas koncentrējas tikai uz klasiskajiem C2 domēniem.
Uzbrucēji, kas piegādā Acreed, izmanto plašu inficēšanās ceļu klāstu:
pirātiska programmatūra un uzlauzti instalētāji, ļaunprātīga reklamēšana, tehniskā atbalsta krāpniecība, e-pasta pielikumi un ļaunprātīgas saites, trešo pušu atjauninātāji un lejupielādētāji, P2P tīkli, inficētas USB ierīces un neielāpītas programmatūras izmantošana. Šī plašā ietekme nozīmē, ka lietotāji var tikt pakļauti gan tiešai pikšķerēšanai, gan ikdienas riskantām lejupielādēm.
Kāpēc Acreed ir bīstams
Acreed apvieno mērķtiecīgu kriptovalūtu maku mērķēšanu ar plašu pārlūkprogrammas un ziņojumapmaiņas datu zādzību, un tas izmanto nemanāmu daudzpakāpju ielādētāju un netradicionālus C2 kanālus, lai sarežģītu atklāšanu. Tā spēja nolaupīt darījumus (tīmekļa lapu/QR/starpliktuves manipulācijas) pārvērš nozagtos datus gandrīz tūlītējos finansiālos zaudējumos, padarot profilaksi un ātru ierobežošanu būtisku. Pastipriniet galapunktu kontroli, samaziniet uzglabāto noslēpumu skaitu un jebkuru apstiprinātu infekciju izturieties pret steidzamu incidentu.
