Zlodej Acreed
Acreed je moderný vírus na ukradnutie informácií, ktorý sa rýchlo zaradil medzi najrozšírenejších vírusov. Keďže sa cielene zameriava na prihlasovacie údaje, artefakty prehliadača, aplikácie na odosielanie správ a kryptomenové peňaženky, jedna úspešná infekcia môže viesť ku krádeži prihlasovacích údajov, zneužitiu krypto prevodov, prevzatiu kontroly nad účtami a dlhodobému uchovávaniu údajov na počítači obete. Ochrana koncových bodov a správania používateľov je preto kľúčová: akonáhle citlivé údaje opustia zariadenie, často je nemožné ich úplne obnoviť.
Obsah
Acreed sa zameriava na vysokohodnotné digitálne aktíva
Spoločnosť Acred sa zameriava na dáta, ktoré majú okamžitú peňažnú hodnotu alebo umožňujú prevzatie kontroly nad účtom:
- uložené heslá, súbory cookie a položky automatického dopĺňania z prehliadačov (Brave, Chrome, Edge),
- peňaženky s kryptomenami založené na prehliadači a systémové peňaženky (plnohodnotné klientske aj rozširujúce peňaženky),
- údaje o kreditných kartách a údaje z aplikácií na odosielanie správ, ktoré možno zneužiť na podvody alebo sociálne inžinierstvo.
Acreed aktívne vyhľadáva širokú škálu softvéru pre peňaženky a rozšírení prehliadača vrátane (ale nielen) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink a Trust. Vymenovaním nainštalovaných aplikácií aj priečinkov s rozšíreniami prehliadača maximalizuje pravdepodobnosť nájdenia kľúčov, seed fráz, súkromných súborov JSON alebo iného materiálu peňaženky.
Ako funguje škodlivý softvér
Acreed sa zvyčajne dodáva prostredníctvom zavádzača (ShadowLoader) a riadi sa viacstupňovým modelom vkladania a zhromažďovania:
- ShadowLoader odstráni dva PE súbory, ktoré sú obalené legitímnou knižnicou WebView2 DLL – tento legitímny obal pomáha zavádzaču vyhnúť sa jednoduchej detekcii a kontrolám podpisu.
- Po spustení Acreed vymenuje adresáre prehliadača s „údajmi používateľa“ (záložky, história, súbory cookie, vyrovnávacia pamäť, rozšírenia, automatické dopĺňanie a uložené prihlasovacie údaje) a skenuje súbory peňaženky a údaje rozšírení.
- Zbiera údaje z aplikácií na odosielanie správ a ďalšie osobné súbory, ktoré môžu byť zneužité pri následných útokoch.
- Rozhodujúce je, že Acreed obsahuje funkcie na odcudzenie transakcií: dokáže nahradiť adresy peňaženiek zobrazené na webových stránkach, zmeniť QR kódy, nahradiť obsah schránky a zachytiť zadané/odoslané adresy peňaženiek – to všetko s cieľom presmerovať finančné prostriedky do peňaženiek ovládaných útočníkom.
Nezvyčajné techniky velenia a riadenia (C2)
Acreed používa atypické verejné zdroje pre konfiguráciu a C2, čo mu pomáha miešať legitímnu prevádzku so škodlivými signálmi:
- Niektoré vzorky získavajú informácie C2 zo inteligentnej zmluvy nasadenej v testovacej sieti BNB Smart Chain.
- Iné vzorky používajú verejné príspevky na platformách ako Steam na kódovanie riadiacich údajov.
Tieto techniky sťažujú objavovanie C2 domén a komplikujú pravidlá detekcie, ktoré sa zameriavajú iba na klasické C2 domény.
Útočníci, ktorí doručujú Acreed, používajú širokú škálu infikovacích trás:
pirátsky softvér a cracknutá inštalácia, malware reklama, podvody technickej podpory, e-mailové prílohy a škodlivé odkazy, aktualizačné a sťahovacie programy tretích strán, P2P siete, infikované USB zariadenia a zneužívanie neopraveného softvéru. Táto šírka znamená, že používatelia môžu byť vystavení priamemu phishingu aj každodennému rizikovému sťahovaniu.
Prečo je Acreed nebezpečný
Acreed kombinuje cielené zacielenie na krypto peňaženky so širokým spektrom krádeží údajov z prehliadačov a správ a používa nenápadný viacstupňový načítavací systém a nekonvenčné C2 kanály na sťaženie detekcie. Jeho schopnosť uniesť transakcie (manipulácia s webovými stránkami/QR kódmi/schránkou) premieňa ukradnuté údaje na takmer okamžitú finančnú stratu, čo robí prevenciu a rýchle obmedzenie nevyhnutnými. Posilnite kontroly koncových bodov, znížte počet uložených tajomstiev a akúkoľvek potvrdenú infekciu považujte za incident s vysokou naliehavosťou.
