Pencuri Acreed
Acreed ialah pencuri maklumat moden yang meningkat dengan cepat ke dalam barisan pencuri yang paling meluas. Kerana ia secara khusus menyasarkan bukti kelayakan, artifak penyemak imbas, apl pemesejan dan dompet mata wang kripto, satu jangkitan yang berjaya boleh membawa kepada kecurian kelayakan, pemindahan kripto yang dirampas, pengambilalihan akaun dan kegigihan jangka panjang pada mesin mangsa. Oleh itu, melindungi titik akhir dan tingkah laku pengguna adalah penting: apabila data sensitif meninggalkan peranti, selalunya mustahil untuk pulih sepenuhnya.
Isi kandungan
Acreed Mengikuti Aset Digital Bernilai Tinggi
Acreed memfokuskan pada data yang mempunyai nilai kewangan segera atau membolehkan pengambilalihan akaun:
- kata laluan yang disimpan, kuki dan entri autolengkap daripada penyemak imbas (Brave, Chrome, Edge),
- dompet mata wang kripto berasaskan pelayar dan sistem (kedua-dua dompet pelanggan penuh dan sambungan),
- data kad kredit dan data aplikasi pemesejan yang boleh disalahgunakan untuk penipuan atau kejuruteraan sosial.
Acreed secara aktif memburu pelbagai perisian dompet dan sambungan penyemak imbas, termasuk (tetapi tidak terhad kepada) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Marikh, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink dan Trust. Dengan menyenaraikan kedua-dua aplikasi yang dipasang dan folder sambungan penyemak imbas, ia memaksimumkan kemungkinan mencari kunci, frasa benih, fail JSON peribadi atau bahan dompet lain.
Bagaimana Perisian Hasad Beroperasi
Acreed biasanya dihantar melalui pemuat (ShadowLoader) dan mengikuti model suntikan dan koleksi berbilang peringkat:
- ShadowLoader menjatuhkan dua fail PE yang dibalut dengan WebView2 DLL yang sah—pembalut yang sah ini membantu pemuat mengelak pengesanan mudah dan pemeriksaan tandatangan.
- Setelah Acreed berjalan, ia menyenaraikan direktori 'Data Pengguna' penyemak imbas (penanda halaman, sejarah, kuki, cache, sambungan, autolengkap dan kelayakan yang disimpan) dan mengimbas fail dompet dan data sambungan.
- Ia menuai data aplikasi pemesejan dan fail peribadi lain yang boleh disalahgunakan dalam serangan susulan.
- Yang penting, Acreed termasuk keupayaan rampasan transaksi: ia boleh menggantikan alamat dompet yang ditunjukkan pada halaman web, mengubah kod QR, menggantikan kandungan papan keratan dan menangkap alamat dompet yang ditaip/diserahkan — semuanya bertujuan untuk mengalihkan dana ke dompet yang dikawal oleh penyerang.
Teknik Perintah-dan-Kawalan (C2) Luar Biasa
Acreed menggunakan sumber awam yang tidak tipikal untuk konfigurasi dan C2, yang membantunya menggabungkan trafik yang sah dengan isyarat berniat jahat:
- Sesetengah sampel mendapatkan maklumat C2 daripada kontrak pintar yang digunakan pada BNB Smart Chain Testnet.
- Sampel lain menggunakan siaran awam pada platform seperti Steam untuk mengekod data kawalan.
Teknik ini menjadikan penemuan C2 lebih mencabar dan merumitkan peraturan pengesanan yang hanya memfokuskan pada domain C2 klasik.
Penyerang yang menghantar Acreed menggunakan kit alat luas laluan jangkitan:
perisian cetak rompak dan pemasang retak, malvertising, penipuan sokongan teknologi, lampiran e-mel dan pautan berniat jahat, pengemaskini dan muat turun pihak ketiga, rangkaian P2P, peranti USB yang dijangkiti dan eksploitasi perisian yang tidak dipadam. Keluasan ini bermakna pengguna boleh didedahkan melalui pancingan data langsung dan muat turun berisiko setiap hari.
Mengapa Acreed Berbahaya
Acreed menggabungkan penyasaran fokus dompet kripto dengan penyemak imbas yang luas dan kecurian data pemesejan, dan ia menggunakan pemuat berbilang peringkat yang tersembunyi dan saluran C2 yang tidak konvensional untuk merumitkan pengesanan. Keupayaannya untuk merampas urus niaga (manipulasi halaman web/QR/papan klip) menukar data yang dicuri kepada kerugian kewangan yang hampir serta-merta, menjadikan pencegahan dan pembendungan pantas penting. Kuatkan kawalan titik akhir, kurangkan rahsia yang disimpan dan layan sebarang jangkitan yang disahkan sebagai insiden yang sangat mendesak.
