Acreed Stealer
Acreed is een moderne informatiedief die zich snel heeft ontwikkeld tot een van de meest wijdverspreide dieven. Omdat het zich specifiek richt op inloggegevens, browserartefacten, berichten-apps en cryptowallets, kan één succesvolle infectie leiden tot diefstal van inloggegevens, gekaapte cryptotransacties, accountovernames en langdurige aanwezigheid op de computer van het slachtoffer. Het beschermen van eindpunten en gebruikersgedrag is daarom cruciaal: zodra gevoelige gegevens een apparaat verlaten, is het vaak onmogelijk om ze volledig te herstellen.
Inhoudsopgave
Acreed richt zich op waardevolle digitale activa
Acreed richt zich op gegevens die een directe monetaire waarde hebben of accountovername mogelijk maken:
- opgeslagen wachtwoorden, cookies en automatisch ingevulde gegevens van browsers (Brave, Chrome, Edge),
- browsergebaseerde en systeemcryptovaluta-wallets (zowel volledige client- als extensiewallets),
- creditcardgegevens en gegevens van berichten-apps die kunnen worden misbruikt voor fraude of social engineering.
Acreed zoekt actief naar een breed scala aan walletsoftware en browserextensies, waaronder (maar niet beperkt tot) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink en Trust. Door zowel geïnstalleerde applicaties als mappen met browserextensies te inventariseren, maximaliseert het de kans op het vinden van sleutels, seedphrases, privé-JSON-bestanden of ander walletmateriaal.
Hoe de malware werkt
Acreed wordt doorgaans geleverd via een lader (ShadowLoader) en volgt een meerfasen injectie- en verzamelingsmodel:
- ShadowLoader verwijdert twee PE-bestanden die zijn ingepakt met een legitieme WebView2 DLL. Deze legitieme wrapper helpt de loader om eenvoudige detectie- en handtekeningcontroles te omzeilen.
- Zodra Acreed actief is, inventariseert het de 'Gebruikersgegevens'-mappen van de browser (bladwijzers, geschiedenis, cookies, cache, extensies, automatisch invullen en opgeslagen inloggegevens) en scant het op portemonneebestanden en extensiegegevens.
- Het verzamelt gegevens uit berichten-apps en andere persoonlijke bestanden die kunnen worden misbruikt bij vervolgaanvallen.
- Acreed beschikt over de functionaliteit om transacties te kapen: het kan wallet-adressen op webpagina's vervangen, QR-codes aanpassen, de inhoud van het klembord vervangen en getypte/ingediende wallet-adressen vastleggen. Dit alles is bedoeld om geld om te leiden naar wallets die door de aanvaller worden beheerd.
Ongebruikelijke Command-and-Control (C2)-technieken
Acreed maakt gebruik van atypische openbare bronnen voor configuratie en C2, waardoor legitiem verkeer kan worden gecombineerd met kwaadaardige signalen:
- Sommige voorbeelden halen C2-informatie op uit een slim contract dat is geïmplementeerd op het BNB Smart Chain Testnet.
- Andere voorbeelden gebruiken openbare berichten op platforms zoals Steam om controlegegevens te coderen.
Deze technieken maken C2-ontdekking uitdagender en compliceren detectieregels die zich alleen richten op klassieke C2-domeinen.
Aanvallers die Acreed verspreiden, maken gebruik van een breed scala aan infectieroutes:
Illegale software en gekraakte installatieprogramma's, malvertising, oplichting met technische ondersteuning, e-mailbijlagen en kwaadaardige links, updaters en downloaders van derden, P2P-netwerken, geïnfecteerde USB-apparaten en misbruik van ongepatchte software. Deze reikwijdte betekent dat gebruikers kwetsbaar kunnen zijn voor zowel directe phishing als alledaagse riskante downloads.
Waarom Acreed gevaarlijk is
Acreed combineert gerichte targeting van cryptowallets met grootschalige diefstal van browser- en berichtengegevens, en maakt gebruik van een sluwe multi-stage loader en onconventionele C2-kanalen om detectie te compliceren. De mogelijkheid om transacties te kapen (manipulatie van webpagina's/QR-/klembordgegevens) zet gestolen gegevens om in vrijwel direct financieel verlies, waardoor preventie en snelle inperking essentieel zijn. Versterk de endpointcontroles, verminder het aantal opgeslagen geheimen en behandel elke bevestigde infectie als een incident met hoge urgentie.
