Akira Stealer

Akira is informatiestelende malware die beschikbaar is op een speciale website en werkt als Malware-as-a-Service (MaaS) onder de naam 'Akira Undetector'. Dit webplatform biedt een gebruiksvriendelijke interface voor het genereren van nieuwe exemplaren van het binaire bestand stealer, compleet met gedetailleerde instructies over hoe u de malware effectief kunt inzetten. Het maakt gebruik van een Telegram-kanaal voor updates en command-and-control-mogelijkheden.

Deze veelzijdige malware is bedreven in het extraheren van gegevens uit webbrowsers, inclusief opgeslagen inloggegevens en betaalkaartinformatie. Bovendien voert het een grondige systeembrede scan uit om verschillende gegevenspunten te verzamelen, zoals gebruikersnamen, systeem-ID's, hardwarespecificaties, geïnstalleerde softwarelijsten en netwerkconfiguraties. De gestolen informatie wordt vervolgens geüpload naar het account van de bedreigingsacteur op de online opslagbeheerservice 'GoFile' en naar zijn Discord instant messaging-account.

Opdringerige mogelijkheden waargenomen in Akira Stealer

Akira Stealer maakt gebruik van een complex infectieproces met meerdere lagen om de code te verdoezelen en detectie te ontlopen. De bedreigingsacteur maakt gebruik van verschillende platforms voor zijn activiteiten, waaronder Telegram, een Command and Control (C2)-server en GitHub. Bovendien beweert de bedreigingsacteur stoutmoedig dat zijn malware 'Fully Undetectable' (FUD) is. Ze onderhouden een Telegram-kanaal genaamd 'Akira' met ongeveer 358 abonnees en bieden hun diensten aan via een Malware-as-a-Service-domein.

Onderzoekers hebben een analyse uitgevoerd van een Akira Stealer-bestand met de naam '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd'. Dit bestand was een CMD-script met versluierde code. Bij uitvoering werd een batchbestand verborgen.bat in de huidige werkmap geplaatst, dat ook detectie wist te omzeilen. Dit batchbestand bevatte een versluierd PowerShell-script dat het bestand tmp.vbs integreerde voor uitvoering met behulp van het csscript.exe-proces.

In termen van gegevensdiefstal maakt de malware een map aan met de naam van de aangetaste pc om de gestolen informatie op te slaan. Vervolgens initieert het gegevensextractie uit verschillende webbrowsers, waaronder Microsoft Edge, Google Chrome, Opera, Mozilla Firefox en 14 andere browsers.

Bovendien is de dief bedreven in het targeten van financiële gegevens, waaronder opgeslagen creditcardgegevens en inloggegevens. Het verzamelt ook bladwijzergegevens, informatie over portemonnee-extensies, maakt schermafbeeldingen en nog veel meer.

Malware voor het stelen van informatie kan ernstige gevolgen hebben voor slachtoffers

Akira is een kwaadaardige informatiestelende malware die werkt volgens het Malware-as-a-Service (MaaS)-model, een bijzonder gevaarlijke vorm van malware die aanzienlijke schade kan toebrengen aan zowel organisaties als individuele gebruikers. Het wordt actief verspreid via een speciaal webportaal en maakt gebruik van een Telegram-kanaal voor distributie, terwijl het tegelijkertijd op discrete wijze een schat aan gevoelige gegevens uit gecompromitteerde systemen exfiltreert, waardoor detectie wordt omzeild.

Bedreigingsactoren passen voortdurend hun technieken aan om de onopspoorbaarheid op de lange termijn te behouden, waardoor hun kwaadaardige creatie veelzijdig wordt en ze efficiënte controle krijgen over geïnfecteerde systemen. Regelmatige updates via het Telegram-kanaal dienen om cybercriminelen nog meer macht te geven bij het nastreven van hun kwaadaardige agenda’s.

De meest effectieve aanpak voor bescherming tegen de Akira Stealer is het uitoefenen van waakzaamheid bij het omgaan met verdachte links en e-mailbijlagen. Het is absoluut noodzakelijk dat gebruikers beseffen dat zelfs ogenschijnlijk betrouwbare bronnen kunnen dienen als kanalen voor infectie en gegevensdiefstal. Het versterken van de systeem-, netwerk- en applicatiebeveiliging kan het risico op infectie aanzienlijk verkleinen. Even belangrijk is het gebruik van up-to-date antimalwaresoftware in combinatie met een adaptief beveiligingsbeleid van de organisatie om robuuste bescherming te garanderen.