Złodziej Acreed

Acreed to nowoczesny złodziej informacji, który szybko zyskał pozycję jednego z najpowszechniejszych. Ponieważ atakuje on głównie dane uwierzytelniające, artefakty przeglądarek, komunikatory i portfele kryptowalut, pojedyncza udana infekcja może doprowadzić do kradzieży danych uwierzytelniających, przejęcia transferów kryptowalut, przejęcia kont i długotrwałego utrzymywania się infekcji na komputerze ofiary. Ochrona punktów końcowych i zachowań użytkowników ma zatem kluczowe znaczenie: gdy poufne dane opuszczą urządzenie, często nie da się ich w pełni odzyskać.

Acreed atakuje cenne aktywa cyfrowe

Acreed koncentruje się na danych, które mają bezpośrednią wartość pieniężną lub umożliwiają przejęcie konta:

• zapisane hasła, pliki cookie i wpisy autouzupełniania z przeglądarek (Brave, Chrome, Edge),
• portfele kryptowalut oparte na przeglądarce i systemie (zarówno pełne portfele klienckie, jak i portfele rozszerzeń),
• dane kart kredytowych i dane aplikacji do przesyłania wiadomości, które mogą być wykorzystane w celu oszustwa lub socjotechniki.

Acreed aktywnie wyszukuje szeroką gamę oprogramowania portfelowego i rozszerzeń przeglądarek, w tym (między innymi) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink i Trust. Enumerując zarówno zainstalowane aplikacje, jak i foldery rozszerzeń przeglądarek, maksymalizuje szanse na znalezienie kluczy, fraz początkowych, prywatnych plików JSON i innych danych portfela.

Jak działa złośliwe oprogramowanie

Acreed jest zwykle dostarczany za pomocą ładowarki (ShadowLoader) i wykorzystuje wieloetapowy model wstrzykiwania i gromadzenia danych:

• ShadowLoader umieszcza dwa pliki PE w opakowniu z legalną biblioteką DLL WebView2 — ta legalna opakowalnica pomaga modułowi ładującemu ominąć proste wykrywanie i sprawdzanie podpisów.
• Po uruchomieniu Acreed wyszukuje katalogi „Danych użytkownika” przeglądarki (zakładki, historię, pliki cookie, pamięć podręczną, rozszerzenia, automatyczne wypełnianie i zapisane dane uwierzytelniające) i skanuje pliki portfela oraz dane rozszerzeń.
• Gromadzi dane z aplikacji do przesyłania wiadomości i inne pliki osobiste, które mogą być wykorzystane w kolejnych atakach.
• Co najważniejsze, Acreed umożliwia przechwytywanie transakcji: może podmieniać adresy portfeli wyświetlane na stronach internetowych, modyfikować kody QR, podmieniać zawartość schowka i przechwytywać wpisywane/przesyłane adresy portfeli — wszystko w celu przekierowania środków do portfeli kontrolowanych przez atakujących.

Nietypowe techniki dowodzenia i kontroli (C2)

Acreed korzysta z nietypowych źródeł publicznych do konfiguracji i C2, co ułatwia mu mieszanie legalnego ruchu ze złośliwymi sygnałami:

• Niektóre próbki pobierają informacje C2 z inteligentnego kontraktu wdrożonego w sieci testowej BNB Smart Chain.
• Inne próbki wykorzystują publiczne posty na platformach takich jak Steam do kodowania danych kontrolnych.
  Techniki te utrudniają odkrywanie domen C2 i komplikują reguły wykrywania, które koncentrują się wyłącznie na klasycznych domenach C2.

Atakujący rozprzestrzeniający Acreed korzystają z szerokiego wachlarza dróg infekcji:
pirackie oprogramowanie i zhakowane instalatory, złośliwe reklamy, oszustwa związane z pomocą techniczną, załączniki do wiadomości e-mail i złośliwe linki, zewnętrzne programy do aktualizacji i pobierania, sieci P2P, zainfekowane urządzenia USB oraz wykorzystywanie niezałatanego oprogramowania. Ten szeroki zakres zagrożeń oznacza, że użytkownicy mogą być narażeni zarówno poprzez bezpośrednie phishing, jak i codzienne ryzykowne pobieranie.

Dlaczego Acreed jest niebezpieczny

Acreed łączy w sobie ukierunkowane namierzanie portfeli kryptowalut z szeroko zakrojoną kradzieżą danych z przeglądarek i komunikatorów, wykorzystując ukryty, wieloetapowy moduł ładujący i niekonwencjonalne kanały C2, aby utrudnić wykrywanie. Jego zdolność do przechwytywania transakcji (manipulacja stroną internetową/kodem QR/schowkiem) przekształca skradzione dane w niemal natychmiastowe straty finansowe, co sprawia, że zapobieganie i szybkie powstrzymywanie ataku są niezbędne. Wzmocnij kontrolę punktów końcowych, zredukuj liczbę przechowywanych sekretów i traktuj każdą potwierdzoną infekcję jako incydent o wysokim priorytecie.