Akira Stealer

Akira er en skadelig programvare som stjeler informasjon som er tilgjengelig på et dedikert nettsted, og fungerer som en Malware-as-a-Service (MaaS) under navnet "Akira Undetector". Denne nettplattformen tilbyr et brukervennlig grensesnitt for å generere nye forekomster av stealer-binæren, komplett med detaljerte instruksjoner om hvordan du bruker skadelig programvare effektivt. Den bruker en Telegram-kanal for oppdateringer og kommando-og-kontroll-funksjoner.

Denne allsidige skadevare er dyktig til å trekke ut data fra nettlesere, inkludert lagrede påloggingsinformasjon og betalingskortinformasjon. I tillegg utfører den en grundig systemomfattende skanning for å samle inn ulike datapunkter, for eksempel brukernavn, systemidentifikatorer, maskinvarespesifikasjoner, installert programvareoppføringer og nettverkskonfigurasjoner. Den stjålne informasjonen blir deretter lastet opp til trusselaktørens konto på 'GoFile' online lagringsadministrasjonstjeneste og deres Discord direktemeldingskonto.

Påtrengende egenskaper observert i Akira Stealer

Akira Stealer bruker en kompleks infeksjonsprosess med flere lag for å skjule koden og unngå deteksjon. Trusselaktøren utnytter ulike plattformer for sine operasjoner, inkludert Telegram, en Command and Control-server (C2) og GitHub. Dessuten hevder trusselaktøren frimodig at deres skadevare er 'Fully Undetectable' (FUD). De opprettholder en Telegram-kanal kalt 'Akira' med omtrent 358 abonnenter og tilbyr tjenestene sine gjennom et Malware-as-a-Service-domene.

Forskere utførte en analyse av en Akira Stealer-fil kalt '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Denne filen var et CMD-skript som inneholdt obfuskert kode. Ved utførelse deponerte den en hidden.bat batch-fil i den gjeldende arbeidskatalogen, som også klarte å unngå oppdagelse. Denne batchfilen inneholdt et skjult PowerShell-skript som integrerte tmp.vbs-filen for kjøring ved hjelp av csscript.exe-prosessen.

Når det gjelder datatyveri, oppretter skadelig programvare en mappe med navnet på den kompromitterte PC-en for å lagre den stjålne informasjonen. Deretter starter den datautvinning fra forskjellige nettlesere, inkludert Microsoft Edge, Google Chrome, Opera, Mozilla Firefox og 14 andre nettlesere.

I tillegg er stjeleren dyktig i målretting av økonomiske data, og omfatter lagrede kredittkortdetaljer og påloggingsinformasjon. Den samler også bokmerkedata, lommebokutvidelsesinformasjon, tar skjermbilder og mye mer.

Skadelig programvare som stjeler informasjon kan få alvorlige konsekvenser for ofrene

Akira er en skadelig programvare som stjeler informasjon som opererer på Malware-as-a-Service (MaaS)-modellen, en spesielt farlig form for skadelig programvare som kan påføre både organisasjoner og individuelle brukere betydelig skade. Den spres aktivt gjennom en dedikert nettportal og bruker en Telegram-kanal for distribusjon, samtidig som den diskret eksfiltrerer et vell av sensitive data fra kompromitterte systemer, og unngår oppdagelse.

Trusselaktører tilpasser kontinuerlig teknikkene sine for å opprettholde langsiktig uoppdagbarhet, noe som gjør deres ondsinnede skapelse allsidig og gir dem effektiv kontroll over infiserte systemer. Regelmessige oppdateringer formidlet gjennom Telegram-kanalen tjener til å styrke nettkriminelle ytterligere i å forfølge deres ondsinnede agendaer.

Den mest effektive tilnærmingen for å beskytte mot Akira Stealer innebærer å utvise årvåkenhet når du håndterer mistenkelige lenker og e-postvedlegg. Det er viktig for brukere å erkjenne at selv tilsynelatende pålitelige kilder kan tjene som kanaler for infeksjon og datatyveri. Å styrke system-, nettverks- og applikasjonssikkerhet kan redusere risikoen for infeksjon betydelig. Like viktig er bruken av oppdatert anti-malware-programvare i forbindelse med adaptive organisatoriske sikkerhetspolicyer for å sikre robust beskyttelse.