Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Acreed Stealer

Acreed Stealer

Nga MezoMalware, Vjedhësit
Përkthe në:

Acreed është një hajdut modern informacioni që është ngritur shpejt në radhët e hajdutëve më të përhapur. Meqenëse synon posaçërisht kredencialet, objektet e shfletuesit, aplikacionet e mesazheve dhe portofolet e kriptomonedhave, një infeksion i vetëm i suksesshëm mund të çojë në vjedhje kredencialesh, transferime kripto të rrëmbyera, marrje llogarish dhe qëndrueshmëri afatgjatë në një makinë viktimë. Prandaj, mbrojtja e pikave fundore dhe sjelljes së përdoruesit është kritike: pasi të dhënat e ndjeshme largohen nga një pajisje, shpesh është e pamundur t'i rikuperosh plotësisht.

Acreed synon asetet dixhitale me vlerë të lartë

Acreed përqendrohet në të dhënat që kanë vlerë të menjëhershme monetare ose që mundësojnë marrjen e llogarisë:

  • fjalëkalime të ruajtura, cookie dhe hyrje automatike nga shfletuesit (Brave, Chrome, Edge),
  • portofolë kriptomonedhash të bazuar në shfletues dhe sisteme (si portofolë të plotë klientësh ashtu edhe portofolë shtesë),
  • të dhënat e kartave të kreditit dhe të dhënat e aplikacioneve të mesazheve që mund të abuzohen për mashtrim ose inxhinieri sociale.

Acreed kërkon në mënyrë aktive një gamë të gjerë softuerësh portofolesh dhe zgjerimesh shfletuesish, duke përfshirë (por pa u kufizuar vetëm në) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink dhe Trust. Duke numëruar si aplikacionet e instaluara ashtu edhe dosjet e zgjerimeve të shfletuesit, ai maksimizon shanset e gjetjes së çelësave, frazave fillestare, skedarëve privatë JSON ose materialeve të tjera të portofolit.

Si funksionon programi keqdashës

Acreed zakonisht dorëzohet nëpërmjet një ngarkuesi (ShadowLoader) dhe ndjek një model injeksioni dhe mbledhjeje me shumë faza:

  • ShadowLoader lëshon dy skedarë PE që janë të mbështjellë me një DLL të ligjshëm WebView2—ky mbështjellës i ligjshëm e ndihmon ngarkuesin të shmangë zbulimin e thjeshtë dhe kontrollet e nënshkrimit.
  • Pasi Acreed të jetë në punë, ai numëron drejtoritë 'Të dhënat e përdoruesit' të shfletuesit (faqeshënuesit, historiku, cookie-t, memoria e përkohshme, zgjerimet, plotësimi automatik dhe kredencialet e ruajtura) dhe skanon për skedarë portofolësh dhe të dhëna zgjerimesh.
  • Ai mbledh të dhëna të aplikacioneve të mesazheve dhe skedarë të tjerë personalë që mund të abuzohen në sulmet pasuese.
  • Çështja kryesore është se Acreed përfshin aftësi për vjedhjen e transaksioneve: mund të zëvendësojë adresat e portofoleve të shfaqura në faqet e internetit, të ndryshojë kodet QR, të zëvendësojë përmbajtjen e clipboard-it dhe të kapë adresat e portofoleve të shtypura/dërguara — të gjitha këto të destinuara për të devijuar fondet në portofolet e kontrolluara nga sulmuesit.

Teknika të pazakonta të komandës dhe kontrollit (C2)

Acreed përdor burime publike atipike për konfigurim dhe C2, i cili e ndihmon të përziejë trafikun legjitim me sinjale keqdashëse:

  • Disa mostra marrin informacionin C2 nga një kontratë inteligjente e vendosur në BNB Smart Chain Testnet.
  • Mostra të tjera përdorin postime publike në platforma të tilla si Steam për të koduar të dhënat e kontrollit.
    Këto teknika e bëjnë zbulimin e C2 më sfidues dhe ndërlikojnë rregullat e zbulimit që përqendrohen vetëm në domenet klasike C2.

Sulmuesit që shpërndajnë Acreed përdorin një gamë të gjerë rrugësh infektimi:
softuerë të piratuar dhe instalues të hakeruar, reklama keqdashëse, mashtrime me mbështetje teknike, bashkëngjitje emailesh dhe lidhje keqdashëse, përditësues dhe shkarkues të palëve të treta, rrjete P2P, pajisje USB të infektuara dhe shfrytëzim i softuerëve të papajisur me patch. Kjo gjerësi do të thotë që përdoruesit mund të ekspozohen si përmes phishing-ut të drejtpërdrejtë ashtu edhe përmes shkarkimeve të rrezikshme të përditshme.

Pse Acreed është i rrezikshëm

Acreed kombinon synimin e fokusuar të portofoleve kripto me vjedhje të gjerë të të dhënave të shfletuesit dhe mesazheve, dhe përdor një ngarkues të fshehtë shumëfazësh dhe kanale jokonvencionale C2 për të komplikuar zbulimin. Aftësia e tij për të rrëmbyer transaksionet (manipulimi i faqes së internetit/kodit QR/tabelës së kujtesës) i shndërron të dhënat e vjedhura në humbje financiare pothuajse të menjëhershme, duke e bërë parandalimin dhe përmbajtjen e shpejtë thelbësore. Forconi kontrollet e pikave fundore, zvogëloni sekretet e ruajtura dhe trajtoni çdo infeksion të konfirmuar si një incident me urgjencë të lartë.

Në trend

Më e shikuara

Po ngarkohet...