Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Ladrão de Acreed

Ladrão de Acreed

Por Mezo em Malware, Ladrões
Traduzir Para:

O Acreed é um ladrão de informações moderno que rapidamente se tornou um dos ladrões mais comuns. Como ele tem como alvo específico credenciais, artefatos de navegador, aplicativos de mensagens e carteiras de criptomoedas, uma única infecção bem-sucedida pode levar ao roubo de credenciais, transferências criptografadas sequestradas, invasão de contas e persistência de longo prazo na máquina da vítima. Proteger os endpoints e o comportamento do usuário é, portanto, crucial: depois que dados confidenciais saem de um dispositivo, muitas vezes é impossível recuperá-los completamente.

Acreed vai atrás de ativos digitais de alto valor

O Acreed se concentra em dados que têm valor monetário imediato ou permitem a tomada de conta:

  • senhas salvas, cookies e entradas de preenchimento automático de navegadores (Brave, Chrome, Edge),
  • carteiras de criptomoedas baseadas em navegador e sistema (carteiras de cliente completas e de extensão),
  • dados de cartão de crédito e dados de aplicativos de mensagens que podem ser usados para fraude ou engenharia social.

O Acreed busca ativamente uma ampla gama de softwares de carteira e extensões de navegador, incluindo (mas não se limitando a) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink e Trust. Ao enumerar aplicativos instalados e pastas de extensões de navegador, ele maximiza as chances de localizar chaves, frases-semente, arquivos JSON privados ou outros materiais de carteira.

Como o malware opera

O Acreed é normalmente entregue por meio de um carregador (ShadowLoader) e segue um modelo de injeção e coleta de vários estágios:

  • O ShadowLoader descarta dois arquivos PE que são encapsulados com uma DLL WebView2 legítima — esse encapsulamento legítimo ajuda o carregador a evitar detecções simples e verificações de assinatura.
  • Quando o Acreed estiver em execução, ele enumera os diretórios de "Dados do Usuário" do navegador (favoritos, histórico, cookies, cache, extensões, preenchimento automático e credenciais salvas) e verifica se há arquivos de carteira e dados de extensão.
  • Ele coleta dados de aplicativos de mensagens e outros arquivos pessoais que podem ser usados indevidamente em ataques subsequentes.
  • Fundamentalmente, o Acreed inclui recursos de sequestro de transações: ele pode substituir endereços de carteira exibidos em páginas da web, alterar códigos QR, substituir conteúdos da área de transferência e capturar endereços de carteira digitados/enviados — tudo com o objetivo de desviar fundos para carteiras controladas pelo invasor.

Técnicas incomuns de comando e controle (C2)

O Acreed usa fontes públicas atípicas para configuração e C2, o que o ajuda a misturar tráfego legítimo com sinais maliciosos:

  • Algumas amostras recuperam informações C2 de um contrato inteligente implantado na BNB Smart Chain Testnet.
  • Outros exemplos usam postagens públicas em plataformas como o Steam para codificar dados de controle.
    Essas técnicas tornam a descoberta de C2 mais desafiadora e complicam as regras de detecção que se concentram apenas em domínios C2 clássicos.

Os invasores que distribuem o Acreed utilizam um amplo conjunto de ferramentas de rotas de infecção:
Software pirata e instaladores crackeados, malvertising, golpes de suporte técnico, anexos de e-mail e links maliciosos, atualizadores e downloaders de terceiros, redes P2P, dispositivos USB infectados e exploração de software sem patches. Essa amplitude significa que os usuários podem ser expostos tanto por meio de phishing direto quanto por downloads arriscados do dia a dia.

Por que Acreed é perigoso

O Acreed combina o direcionamento focado de carteiras de criptomoedas com o roubo generalizado de dados de navegadores e mensagens, utilizando um carregador furtivo de múltiplos estágios e canais C2 não convencionais para complicar a detecção. Sua capacidade de sequestrar transações (manipulação de páginas da web/QR/área de transferência) converte dados roubados em perdas financeiras quase imediatas, tornando a prevenção e a contenção rápida essenciais. Fortaleça os controles de endpoint, reduza os segredos armazenados e trate qualquer infecção confirmada como um incidente de alta urgência.

Tendendo

Mais visto

Carregando...