Acreed Stealer

Acreed er en moderne informasjonstyver som raskt har klatret inn i rekkene av de mest utbredte tyvene. Fordi den spesifikt retter seg mot påloggingsinformasjon, nettleserartefakter, meldingsapper og kryptovaluta-lommebøker, kan en enkelt vellykket infeksjon føre til påloggingsinformasjonstyveri, kaprede kryptooverføringer, kontoovertakelser og langvarig vedvarende aktivitet på offermaskinen. Det er derfor kritisk å beskytte endepunkter og brukeratferd: Når sensitive data forlater en enhet, er det ofte umulig å gjenopprette den fullstendig.

Acreed går etter digitale eiendeler med høy verdi

Acreed fokuserer på data som har umiddelbar pengeverdi eller muliggjør kontoovertakelse:

• lagrede passord, informasjonskapsler og autofyll-oppføringer fra nettlesere (Brave, Chrome, Edge),
• nettleserbaserte og systembaserte kryptovaluta-lommebøker (både fullklient- og utvidelseslommebøker),
• kredittkortdata og data fra meldingsapper som kan misbrukes til svindel eller sosial manipulering.

Acreed jakter aktivt etter et bredt spekter av lommebokprogramvare og nettleserutvidelser, inkludert (men ikke begrenset til) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink og Trust. Ved å liste opp både installerte applikasjoner og mapper med nettleserutvidelser, maksimerer den oddsen for å finne nøkler, såkalte «seed»-fraser, private JSON-filer eller annet lommebokmateriale.

Hvordan skadelig programvare fungerer

Acreed leveres vanligvis via en laster (ShadowLoader) og følger en flertrinns injeksjons- og innsamlingsmodell:

• ShadowLoader fjerner to PE-filer som er pakket inn i en legitim WebView2 DLL – denne legitime innpakningen hjelper lasteren med å unngå enkel deteksjon og signaturkontroller.
• Når Acreed kjører, lister den opp nettleserens brukerdatakataloger (bokmerker, historikk, informasjonskapsler, hurtigbuffer, utvidelser, autofyll og lagret påloggingsinformasjon) og skanner etter lommebokfiler og utvidelsesdata.
• Den samler inn data fra meldingsapper og andre personlige filer som kan misbrukes i oppfølgingsangrep.
• Avgjørende er at Acreed inkluderer transaksjonskapringsfunksjoner: den kan erstatte lommebokadresser som vises på nettsider, endre QR-koder, erstatte innhold på utklippstavlen og fange opp skrevne/sendte lommebokadresser – alt ment å omdirigere midler til angriperkontrollerte lommebøker.

Uvanlige kommando-og-kontroll (C2) teknikker

Acreed bruker atypiske offentlige kilder for konfigurasjon og C2, noe som hjelper dem med å blande legitim trafikk med ondsinnede signaler:

• Noen eksempler henter C2-informasjon fra en smartkontrakt distribuert på BNB Smart Chain Testnet.
• Andre eksempler bruker offentlige innlegg på plattformer som Steam for å kode kontrolldata.
  Disse teknikkene gjør C2-oppdagelse mer utfordrende og kompliserer deteksjonsregler som kun fokuserer på klassiske C2-domener.

Angripere som leverer Acreed bruker et bredt verktøysett av infeksjonsruter:
piratkopiert programvare og krakkede installasjonsprogrammer, skadelig annonsering, svindel fra teknisk støtte, e-postvedlegg og ondsinnede lenker, tredjeparts oppdaterings- og nedlastingsprogrammer, P2P-nettverk, infiserte USB-enheter og utnyttelse av uoppdatert programvare. Denne bredden betyr at brukere kan bli eksponert gjennom både direkte phishing og hverdagslige risikable nedlastinger.

Hvorfor Acreed er farlig

Acreed kombinerer fokusert målretting av kryptolommebøker med omfattende tyveri av nettleser- og meldingsdata, og den bruker en snikende flertrinnslaster og ukonvensjonelle C2-kanaler for å komplisere deteksjon. Evnen til å kapre transaksjoner (manipulering av nettsider/QR-koder/utklippstavle) konverterer stjålne data til nesten umiddelbart økonomisk tap, noe som gjør forebygging og rask inneslutning avgjørende. Styrk endepunktkontrollene, reduser lagrede hemmeligheter og behandle enhver bekreftet infeksjon som en hendelse med høy hast.