Zlodej Akira

Akira je malvér na kradnutie informácií dostupný na vyhradenej webovej lokalite, ktorá funguje ako služba Malware-as-a-Service (MaaS) pod názvom „Akira Undetector“. Táto webová platforma ponúka užívateľsky prívetivé rozhranie na generovanie nových inštancií binárky zlodeja, doplnené podrobnými pokynmi, ako efektívne využiť malvér. Využíva telegramový kanál na aktualizácie a možnosti príkazov a ovládania.

Tento všestranný malvér je zdatný v získavaní údajov z webových prehliadačov vrátane uložených prihlasovacích údajov a informácií o platobných kartách. Okrem toho vykonáva dôkladné celosystémové skenovanie na zhromažďovanie rôznych údajových bodov, ako sú používateľské mená, systémové identifikátory, hardvérové špecifikácie, zoznamy nainštalovaného softvéru a konfigurácie siete. Ukradnuté informácie sa následne nahrajú na účet aktéra hrozby v službe správy úložiska online „GoFile“ a na jeho konto na odosielanie okamžitých správ Discord.

Dotieravé schopnosti pozorované v Akira Stealer

Akira Stealer využíva komplexný infekčný proces s viacerými vrstvami na zahmlievanie svojho kódu a vyhýbanie sa detekcii. Aktér hrozby využíva na svoje operácie rôzne platformy vrátane telegramu, servera Command and Control (C2) a GitHub. Okrem toho aktér hrozby odvážne tvrdí, že ich malvér je „úplne nezistiteľný“ (FUD). Spravuje telegramový kanál s názvom „Akira“ s približne 358 predplatiteľmi a ponúka svoje služby prostredníctvom domény Malware-as-a-Service.

Výskumníci vykonali analýzu súboru Akira Stealer s názvom '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Tento súbor bol CMD skript obsahujúci zahmlený kód. Po spustení uložil do aktuálneho pracovného adresára dávkový súbor hidden.bat, ktorý sa tiež dokázal vyhnúť detekcii. Tento dávkový súbor obsahoval zahmlený skript PowerShell, ktorý integroval súbor tmp.vbs na spustenie pomocou procesu csscript.exe.

Pokiaľ ide o krádež údajov, malvér vytvorí priečinok s názvom napadnutého počítača, do ktorého sa uložia ukradnuté informácie. Následne spustí extrakciu údajov z rôznych webových prehliadačov vrátane Microsoft Edge, Google Chrome, Opera, Mozilla Firefox a ďalších 14 prehliadačov.

Okrem toho je zlodej zručný v zacielení na finančné údaje, vrátane uložených údajov o kreditnej karte a prihlasovacích údajov. Zhromažďuje tiež údaje o záložkách, informácie o rozšírení peňaženky, zachytáva snímky obrazovky a oveľa viac.

Malvér na krádež informácií môže mať pre obete vážne následky

Akira je škodlivý malvér kradnúci informácie fungujúci na modeli Malware-as-a-Service (MaaS), čo je obzvlášť nebezpečná forma škodlivého softvéru, ktorý môže organizáciám aj jednotlivým používateľom spôsobiť značné škody. Aktívne sa šíri prostredníctvom vyhradeného webového portálu a využíva na distribúciu telegramový kanál, pričom diskrétne exfiltruje množstvo citlivých údajov z kompromitovaných systémov a vyhýba sa detekcii.

Aktéri hrozieb neustále prispôsobujú svoje techniky, aby si udržali dlhodobú nezistiteľnosť, čím sa ich zlovoľný výtvor stáva všestranným a poskytuje im účinnú kontrolu nad infikovanými systémami. Pravidelné aktualizácie prenášané prostredníctvom kanála Telegram slúžia na ďalšie posilnenie kyberzločincov pri vykonávaní ich škodlivých programov.

Najúčinnejší prístup k ochrane pred zlodejom Akira zahŕňa ostražitosť pri narábaní s podozrivými odkazmi a prílohami e-mailov. Je nevyhnutné, aby si používatelia uvedomili, že aj zdanlivo dôveryhodné zdroje môžu slúžiť ako kanály pre infekciu a krádež údajov. Posilnenie zabezpečenia systému, siete a aplikácií môže podstatne znížiť riziko infekcie. Rovnako dôležité je využitie aktuálneho antimalvérového softvéru v spojení s prispôsobivými zásadami zabezpečenia organizácie na zabezpečenie robustnej ochrany.