Похититель Acreed

Acreed — это современный похититель информации, который быстро стал одним из самых распространённых. Поскольку он целенаправленно атакует учётные данные, артефакты браузера, приложения для обмена сообщениями и криптовалютные кошельки, одно успешное заражение может привести к краже учётных данных, перехвату криптовалютных переводов, захвату учётных записей и длительному сохранению на компьютере жертвы. Поэтому защита конечных точек и поведения пользователей критически важна: после того, как конфиденциальные данные покидают устройство, их часто невозможно полностью восстановить.

Acreed охотится за ценными цифровыми активами

Acreed фокусируется на данных, которые имеют непосредственную денежную ценность или позволяют осуществлять захват аккаунта:

• сохраненные пароли, файлы cookie и данные автозаполнения из браузеров (Brave, Chrome, Edge),
• браузерные и системные криптовалютные кошельки (как полноценные клиентские, так и расширенные кошельки),
• Данные кредитных карт и данные приложений для обмена сообщениями могут быть использованы в целях мошенничества или социальной инженерии.

Acreed активно ищет широкий спектр программных кошельков и расширений для браузеров, включая (но не ограничиваясь) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink и Trust. Перечисляя как установленные приложения, так и папки расширений для браузеров, Acreed максимально увеличивает шансы найти ключи, сид-фразы, приватные JSON-файлы и другие материалы кошелька.

Как работает вредоносное ПО

Acreed обычно доставляется с помощью загрузчика (ShadowLoader) и следует многоэтапной модели закачки и сбора:

• ShadowLoader удаляет два PE-файла, которые упакованы в легитимную библиотеку DLL WebView2. Эта легитимная оболочка помогает загрузчику обходить простые проверки обнаружения и подписи.
• После запуска Acreed перечисляет каталоги «пользовательских данных» браузера (закладки, история, файлы cookie, кэш, расширения, автозаполнение и сохраненные учетные данные), а также сканирует их на наличие файлов кошелька и данных расширений.
• Он собирает данные приложений для обмена сообщениями и другие личные файлы, которые можно использовать в последующих атаках.
• Важно отметить, что Acreed обладает возможностями перехвата транзакций: он может подменять адреса кошельков, отображаемые на веб-страницах, изменять QR-коды, подменять содержимое буфера обмена и захватывать введенные/отправленные адреса кошельков — все это предназначено для перенаправления средств на кошельки, контролируемые злоумышленниками.

Необычные методы командования и управления (C2)

Acreed использует нетипичные общедоступные источники для конфигурации и C2, что позволяет ему совмещать легитимный трафик с вредоносными сигналами:

• Некоторые образцы извлекают информацию C2 из смарт-контракта, развернутого в тестовой сети BNB Smart Chain.
• Другие образцы используют публичные сообщения на таких платформах, как Steam, для кодирования управляющих данных.
  Эти методы усложняют обнаружение C2 и правила обнаружения, которые ориентированы только на классические домены C2.

Злоумышленники, распространяющие Acreed, используют широкий набор методов заражения:
Пиратское ПО и взломанные установщики, вредоносная реклама, мошенничество с технической поддержкой, вложения в электронные письма и вредоносные ссылки, сторонние программы обновления и загрузки, P2P-сети, зараженные USB-устройства и использование непатченного ПО. Такой широкий спектр угроз означает, что пользователи могут быть подвержены риску как через прямой фишинг, так и через повседневные опасные загрузки.

Почему Акрид опасен

Acreed сочетает целенаправленную атаку на криптокошельки с масштабной кражей данных из браузеров и мессенджеров, используя скрытый многоступенчатый загрузчик и нетрадиционные каналы управления (C2), что затрудняет обнаружение. Способность Acreed перехватывать транзакции (манипулирование веб-страницами, QR-кодами и буфером обмена) превращает украденные данные в практически мгновенные финансовые потери, что делает профилактику и быстрое сдерживание критически важными. Необходимо усилить контроль конечных точек, сократить объем хранимых секретных данных и рассматривать любое подтверждённое заражение как инцидент высокой степени важности.