Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Hoț de Acreed

Hoț de Acreed

Până în Mezo în Programe malware, Furători
Tradu in:

Acreed este un hoț modern de informații care a ajuns rapid în rândul celor mai răspândite hoți de informații. Deoarece vizează în mod specific acreditările, artefactele browserului, aplicațiile de mesagerie și portofelele de criptomonede, o singură infectare reușită poate duce la furtul de acreditări, transferuri cripto deturnate, preluări de conturi și persistență pe termen lung pe mașina victimă. Prin urmare, protejarea endpoint-urilor și a comportamentului utilizatorilor este esențială: odată ce datele sensibile părăsesc un dispozitiv, este adesea imposibil să fie recuperate complet.

Acreed vizează active digitale de mare valoare

Acreed se concentrează pe date care au valoare monetară imediată sau permit preluarea controlului asupra contului:

  • parolele, cookie-urile și intrările de completare automată salvate din browsere (Brave, Chrome, Edge),
  • portofele de criptomonede bazate pe browser și de sistem (atât portofele client complete, cât și portofele extensie),
  • date de pe cardurile de credit și date din aplicațiile de mesagerie care pot fi abuzate în scopuri frauduloase sau de inginerie socială.

Acreed caută în mod activ o gamă largă de software pentru portofele și extensii de browser, inclusiv (dar fără a se limita la) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink și Trust. Prin enumerarea atât a aplicațiilor instalate, cât și a folderelor de extensii de browser, maximizează șansele de a localiza chei, fraze inițiale, fișiere JSON private sau alte materiale din portofel.

Cum funcționează malware-ul

Acreed este de obicei livrat prin intermediul unui încărcător (ShadowLoader) și urmează un model de injecție și colectare în mai multe etape:

  • ShadowLoader elimină două fișiere PE care sunt încapsulate într-un DLL WebView2 legitim — acest încapsulator legitim ajută încărcătorul să evite detectarea simplă și verificările de semnătură.
  • Odată ce Acreed rulează, acesta enumeră directoarele „Date utilizator” ale browserului (marcaje, istoric, cookie-uri, memorie cache, extensii, completare automată și credențiale salvate) și scanează fișierele portofelului și datele extensiilor.
  • Recoltează date din aplicațiile de mesagerie și alte fișiere personale care pot fi utilizate abuziv în atacuri ulterioare.
  • Un aspect crucial este că Acreed include capabilități de deturnare a tranzacțiilor: poate înlocui adresele portofelelor afișate pe paginile web, poate modifica codurile QR, poate înlocui conținutul clipboard-ului și poate captura adrese de portofel introduse/trimise - toate acestea având scopul de a devia fonduri către portofele controlate de atacatori.

Tehnici neobișnuite de comandă și control (C2)

Acreed folosește surse publice atipice pentru configurare și C2, ceea ce îl ajută să combine traficul legitim cu semnale rău intenționate:

  • Unele exemple preiau informații C2 dintr-un contract inteligent implementat pe BNB Smart Chain Testnet.
  • Alte exemple folosesc postări publice pe platforme precum Steam pentru a codifica datele de control.
    Aceste tehnici fac descoperirea C2 mai dificilă și complică regulile de detectare care se concentrează doar pe domeniile C2 clasice.

Atacatorii care livrează Acreed utilizează o gamă largă de rute de infectare:
software piratat și programe de instalare piratate, publicitate malicioasă, escrocherii cu asistență tehnică, atașamente la e-mailuri și linkuri rău intenționate, programe de actualizare și descărcare terțe, rețele P2P, dispozitive USB infectate și exploatarea software-ului neactualizat. Această gamă largă de aplicații înseamnă că utilizatorii pot fi expuși atât prin phishing direct, cât și prin descărcări riscante de zi cu zi.

De ce este Acreed periculos

Acreed combină direcționarea concentrată a portofelelor cripto cu furtul extins de date din browser și mesagerie și folosește un încărcător ascuns în mai multe etape și canale C2 neconvenționale pentru a complica detectarea. Capacitatea sa de a deturna tranzacțiile (manipularea paginilor web/codurilor QR/clipboard-ului) transformă datele furate în pierderi financiare aproape imediate, ceea ce face ca prevenirea și izolarea rapidă să fie esențiale. Consolidați controalele endpoint-urilor, reduceți secretele stocate și tratați orice infecție confirmată ca un incident de urgență ridicată.

Trending

Cele mai văzute

Se încarcă...