Acreed Stealer
Acreed je sodoben kradljivac informacij, ki se je hitro povzpel med najbolj razširjene kradljivce. Ker cilja posebej na poverilnice, artefakte brskalnika, aplikacije za sporočanje in denarnice s kriptovalutami, lahko ena sama uspešna okužba povzroči krajo poverilnic, ugrabitev kripto prenosov, prevzem računov in dolgotrajno obstojnost na računalniku žrtve. Zaščita končnih toček in vedenja uporabnikov je zato ključnega pomena: ko občutljivi podatki zapustijo napravo, jih je pogosto nemogoče v celoti obnoviti.
Kazalo
Acreed se loteva visokovrednih digitalnih sredstev
Acred se osredotoča na podatke, ki imajo takojšnjo denarno vrednost ali omogočajo prevzem računa:
- shranjena gesla, piškotki in vnosi za samodejno izpolnjevanje iz brskalnikov (Brave, Chrome, Edge),
- denarnice za kriptovalute v brskalniku in sistemske denarnice (tako polne denarnice za odjemalce kot tudi denarnice za razširitve),
- podatki o kreditnih karticah in podatki aplikacij za sporočanje, ki jih je mogoče zlorabiti za goljufije ali socialni inženiring.
Acreed aktivno išče široko paleto programske opreme za denarnice in razširitev brskalnika, vključno z (vendar ne omejeno na) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink in Trust. Z naštevanjem nameščenih aplikacij in map razširitev brskalnika poveča verjetnost iskanja ključev, semenskih fraz, zasebnih datotek JSON ali drugega gradiva denarnice.
Kako deluje zlonamerna programska oprema
Acreed se običajno dostavi prek nalagalnika (ShadowLoader) in sledi večstopenjskemu modelu vbrizgavanja in zbiranja:
- ShadowLoader spusti dve datoteki PE, ki sta zaviti v legitimno datoteko WebView2 DLL – ta legitimna ovojnica pomaga nalagalniku, da se izogne preprostemu zaznavanju in preverjanju podpisov.
- Ko se Acreed zažene, našteje imenike »Uporabniški podatki« brskalnika (zaznamki, zgodovina, piškotki, predpomnilnik, razširitve, samodejno izpolnjevanje in shranjene poverilnice) ter pregleda datoteke denarnice in podatke razširitev.
- Zbira podatke aplikacij za sporočanje in druge osebne datoteke, ki jih je mogoče zlorabiti v nadaljnjih napadih.
- Ključno je, da Acreed vključuje zmožnosti ugrabitve transakcij: lahko zamenja naslove denarnic, prikazane na spletnih straneh, spremeni QR kode, nadomesti vsebino odložišča in zajame vnesene/poslane naslove denarnic – vse z namenom preusmeritve sredstev v denarnice, ki jih nadzorujejo napadalci.
Nenavadne tehnike poveljevanja in nadzora (C2)
Acreed uporablja netipične javne vire za konfiguracijo in C2, kar mu pomaga mešati legitimni promet z zlonamernimi signali:
- Nekateri vzorci pridobivajo informacije C2 iz pametne pogodbe, nameščene v testnem omrežju BNB Smart Chain.
- Drugi vzorci uporabljajo javne objave na platformah, kot je Steam, za kodiranje kontrolnih podatkov.
Zaradi teh tehnik je odkrivanje C2 bolj zahtevno in zapleteno, pravila zaznavanja pa se osredotočajo le na klasične domene C2.
Napadalci, ki širijo Acreed, uporabljajo širok nabor orodij za poti okužbe:
piratska programska oprema in namestitveni programi s krekirano programsko opremo, zlonamerno oglaševanje, prevare s tehnično podporo, priloge e-pošte in zlonamerne povezave, programi za posodabljanje in prenos podatkov tretjih oseb, omrežja P2P, okužene naprave USB in izkoriščanje nepopravljene programske opreme. Zaradi te širine so uporabniki lahko izpostavljeni tako neposrednemu lažnemu predstavljanju kot vsakodnevnim tveganim prenosom.
Zakaj je Acreed nevaren
Acreed združuje osredotočeno ciljanje kripto denarnic s široko krajo podatkov brskalnika in sporočil ter uporablja prikrit večstopenjski nalagalnik in nekonvencionalne kanale C2 za oteževanje odkrivanja. Njegova sposobnost ugrabitve transakcij (manipulacija spletnih strani/QR kod/odložišča) ukradene podatke pretvori v skoraj takojšnjo finančno izgubo, zato sta preprečevanje in hitro zadrževanje bistvenega pomena. Okrepite nadzor končnih točk, zmanjšajte število shranjenih skrivnosti in vsako potrjeno okužbo obravnavajte kot incident visoke nujnosti.
