Złodziej Akiry
Akira to szkodliwe oprogramowanie kradnące informacje, dostępne na specjalnej stronie internetowej, działające jako Malware-as-a-Service (MaaS) pod nazwą „Akira Undetector”. Ta platforma internetowa oferuje przyjazny dla użytkownika interfejs do generowania nowych instancji pliku binarnego złodzieja, wraz ze szczegółowymi instrukcjami dotyczącymi skutecznego wykorzystania szkodliwego oprogramowania. Wykorzystuje kanał Telegramu do aktualizacji oraz możliwości dowodzenia i kontroli.
To wszechstronne szkodliwe oprogramowanie jest skuteczne w wydobywaniu danych z przeglądarek internetowych, w tym zapisanych danych logowania i danych kart płatniczych. Dodatkowo przeprowadza dokładne skanowanie całego systemu w celu zebrania różnych danych, takich jak nazwy użytkowników, identyfikatory systemu, specyfikacje sprzętu, listy zainstalowanego oprogramowania i konfiguracje sieci. Skradzione informacje są następnie przesyłane na konto cyberprzestępcy w usłudze zarządzania pamięcią masową online „GoFile” oraz na jego konto w komunikatorze Discord.
Inwazyjne możliwości zaobserwowane w Akira Stealer
Akira Stealer wykorzystuje złożony proces infekcji składający się z wielu warstw, aby zaciemnić kod i uniknąć wykrycia. Osoba zagrażająca wykorzystuje do swoich działań różne platformy, w tym Telegram, serwer dowodzenia i kontroli (C2) oraz GitHub. Co więcej, ugrupowanie zagrażające śmiało twierdzi, że jego złośliwe oprogramowanie jest „w pełni niewykrywalne” (FUD). Prowadzą kanał Telegramu o nazwie „Akira” z około 358 subskrybentami i oferują swoje usługi za pośrednictwem domeny Malware as a Service.
Badacze przeprowadzili analizę pliku Akira Stealer o nazwie „3989X_NORD_VPN_PREMIUM_HITS.txt.cmd”. Ten plik był skryptem CMD zawierającym zaciemniony kod. Po wykonaniu umieszczał plik wsadowy ukryty.bat w bieżącym katalogu roboczym, któremu również udało się uniknąć wykrycia. Ten plik wsadowy zawierał zaciemniony skrypt PowerShell, który integrował plik tmp.vbs w celu wykonania przy użyciu procesu csscript.exe.
Jeśli chodzi o kradzież danych, złośliwe oprogramowanie tworzy folder z nazwą zaatakowanego komputera, w którym przechowuje skradzione informacje. Następnie inicjuje ekstrakcję danych z różnych przeglądarek internetowych, w tym Microsoft Edge, Google Chrome, Opera, Mozilla Firefox i 14 innych przeglądarek.
Ponadto złodziej jest biegły w atakowaniu danych finansowych, w tym zapisanych danych karty kredytowej i danych logowania. Gromadzi także dane zakładek, informacje o rozszerzeniach portfela, przechwytuje zrzuty ekranu i wiele więcej.
Złośliwe oprogramowanie kradnące informacje może mieć poważne konsekwencje dla ofiar
Akira to złośliwe oprogramowanie kradnące informacje działające w modelu Malware-as-a-Service (MaaS), co jest szczególnie niebezpieczną formą szkodliwego oprogramowania, które może wyrządzić znaczne szkody zarówno organizacjom, jak i indywidualnym użytkownikom. Jest aktywnie propagowany za pośrednictwem dedykowanego portalu internetowego i wykorzystuje do dystrybucji kanał Telegram, a jednocześnie dyskretnie wydobywa wiele wrażliwych danych z zaatakowanych systemów, unikając wykrycia.
Przestępcy nieustannie dostosowują swoje techniki, aby zachować długoterminową niewykrywalność, dzięki czemu ich złowrogie twory są wszechstronne i zapewniają im skuteczną kontrolę nad zainfekowanymi systemami. Regularne aktualizacje przesyłane za pośrednictwem kanału Telegram jeszcze bardziej wzmacniają cyberprzestępców w realizacji ich złośliwych celów.
Najbardziej skuteczną metodą ochrony przed złodziejem Akira jest zachowanie czujności w przypadku podejrzanych linków i załączników do wiadomości e-mail. Użytkownicy muszą koniecznie zdać sobie sprawę, że nawet pozornie wiarygodne źródła mogą służyć jako kanały infekcji i kradzieży danych. Wzmocnienie bezpieczeństwa systemu, sieci i aplikacji może znacznie zmniejszyć ryzyko infekcji. Równie istotne jest wykorzystanie aktualnego oprogramowania chroniącego przed złośliwym oprogramowaniem w połączeniu z adaptacyjnymi politykami bezpieczeństwa organizacji, aby zapewnić solidną ochronę.
