Akira Stealer

Akira é um malware que rouba informações, disponível em um site dedicado, operando como Malware como serviço (MaaS) sob o nome de ‘Akira Undetector’. Esta plataforma web oferece uma interface amigável para gerar novas instâncias do binário ladrão, completa com instruções detalhadas sobre como empregar o malware de forma eficaz. Faz uso de um canal Telegram para atualizações e recursos de comando e controle.

Este malware versátil é proficiente na extração de dados de navegadores da web, incluindo credenciais de login salvas e informações de cartão de pagamento. Além disso, realiza uma verificação completa em todo o sistema para coletar vários pontos de dados, como nomes de usuário, identificadores de sistema, especificações de hardware, listas de software instalado e configurações de rede. As informações roubadas são posteriormente carregadas na conta do agente da ameaça no serviço de gerenciamento de armazenamento online ‘GoFile’ e em sua conta de mensagens instantâneas Discord.

As Capacidades Intrusivas Observadas no Akira Stealer

Akira Stealer emprega um processo de infecção complexo com múltiplas camadas para ofuscar seu código e evitar a detecção. O ator da ameaça utiliza várias plataformas para suas operações, incluindo Telegram, um servidor de Comando e Controle (C2) e GitHub. Além disso, o autor da ameaça afirma corajosamente que o seu malware é “Totalmente Indetectável” (FUD). Eles mantêm um canal Telegram chamado ‘Akira’ com aproximadamente 358 assinantes e oferecem seus serviços através de um domínio Malware-as-a-Service.

Os pesquisadores conduziram uma análise de um arquivo Akira Stealer chamado '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Este arquivo era um script CMD contendo código ofuscado. Após a execução, ele depositou um arquivo em lote hidden.bat no diretório de trabalho atual, que também conseguiu escapar da detecção. Este arquivo em lote continha um script PowerShell ofuscado que integrava o arquivo tmp.vbs para execução usando o processo csscript.exe.

Em termos de roubo de dados, o malware estabelece uma pasta com o nome do PC comprometido para armazenar as informações furtadas. Posteriormente, inicia a extração de dados de vários navegadores da web, incluindo Microsoft Edge, Google Chrome, Opera, Mozilla Firefox e 14 outros navegadores.

Além disso, o ladrão é proficiente em direcionar dados financeiros, incluindo detalhes de cartão de crédito salvos e credenciais de login. Ele também coleta dados de favoritos, informações de extensão de carteira, captura de tela e muito mais.

Um Malware que Rouba Informações pode Ter Consequências Graves para as Vítimas

Akira é um malware malicioso que rouba informações e opera no modelo Malware como serviço (MaaS), uma forma particularmente perigosa de malware, capaz de causar danos significativos a organizações e usuários individuais. Ele é propagado ativamente por meio de um portal da web dedicado e emprega um canal Telegram para distribuição, ao mesmo tempo em que exfiltra discretamente uma riqueza de dados confidenciais de sistemas comprometidos, evitando a detecção.

Os atores da ameaça adaptam continuamente suas técnicas para manter a indetectabilidade a longo prazo, tornando versátil sua criação malévola e proporcionando-lhes controle eficiente sobre os sistemas infectados. Atualizações regulares transmitidas através do canal Telegram servem para capacitar ainda mais os cibercriminosos na prossecução dos seus planos maliciosos.

A abordagem mais eficaz para proteção contra o Akira Stealer envolve exercer vigilância ao lidar com links suspeitos e anexos de e-mail. É fundamental que os usuários reconheçam que mesmo fontes aparentemente confiáveis podem servir como canais para infecção e roubo de dados. Fortalecer a segurança do sistema, da rede e dos aplicativos pode mitigar substancialmente o risco de infecção. Igualmente vital é a utilização de software antimalware atualizado em conjunto com políticas de segurança organizacionais adaptáveis para garantir uma proteção robusta.