Крадљивац Acreed

Acreed је модерни крадљивац информација који се брзо попео међу најраспрострањеније крадљивце. Пошто посебно циља акредитиве, артефакте прегледача, апликације за размену порука и криптовалуте новчанике, једна успешна инфекција може довести до крађе акредитива, отетих крипто трансфера, преузимања налога и дугорочног задржавања на рачунару жртве. Заштита крајњих тачака и понашања корисника је стога кључна: када осетљиви подаци напусте уређај, често их је немогуће у потпуности опоравити.

Acreed се бори за дигиталну имовину високе вредности

Acreed се фокусира на податке који имају тренутну новчану вредност или омогућавају преузимање налога:

• сачуване лозинке, колачићи и уноси за аутоматско попуњавање из прегледача (Brave, Chrome, Edge),
• новчаници са криптовалутама, базирани на прегледачу и системски (и комплетни клијентски и проширени новчаници),
• подаци о кредитним картицама и подаци апликација за размену порука који се могу злоупотребити за превару или друштвени инжењеринг.

Acreed активно тражи широк спектар софтвера за новчанике и екстензија за прегледач, укључујући (али не ограничавајући се на) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink и Trust. Набрајањем инсталираних апликација и фасцикли са екстензијама прегледача, максимизира шансе за проналажење кључева, сеем фраза, приватних JSON датотека или другог материјала за новчаник.

Како злонамерни софтвер функционише

Acreed се обично испоручује путем програма за учитавање (ShadowLoader) и прати вишестепени модел убризгавања и прикупљања:

• ShadowLoader испушта две PE датотеке које су обмотане легитимном WebView2 DLL датотеком — ова легитимна омотачка датотека помаже програму за учитавање да избегне једноставну детекцију и провере потписа.
• Када се Acreed покрене, он набраја директоријуме „Кориснички подаци“ прегледача (обележивачи, историја, колачићи, кеш меморија, екстензије, аутоматско попуњавање и сачувани акредитиви) и скенира датотеке новчаника и податке о екстензијама.
• Прикупља податке апликација за размену порука и друге личне датотеке које могу бити злоупотребљене у накнадним нападима.
• Кључно је да Acreed укључује могућности отмице трансакција: може заменити адресе новчаника приказане на веб страницама, изменити QR кодове, заменити садржај међуспремника и снимити откуцане/послате адресе новчаника — све са намером да се средства преусмере ка новчаницима које контролишу нападачи.

Необичне технике командовања и контроле (C2)

Acreed користи атипичне јавне изворе за конфигурацију и C2, што му помаже да помеша легитиман саобраћај са злонамерним сигналима:

• Неки примери преузимају C2 информације из паметног уговора распоређеног на BNB Smart Chain тестнету.
• Други примери користе јавне објаве на платформама као што је Steam за кодирање контролних података.
  Ове технике чине откривање C2 изазовнијим и компликују правила детекције која се фокусирају само на класичне C2 домене.

Нападачи који испоручују Acreed користе широк скуп алата за руте инфекције:
пиратски софтвер и крековани инсталатери, злонамерно оглашавање, преваре техничке подршке, прилози е-поште и злонамерни линкови, програми за ажурирање и преузимање трећих страна, P2P мреже, заражени USB уређаји и експлоатација незакрпљеног софтвера. Оваква ширина значи да корисници могу бити изложени и директном фишингу и свакодневним ризичним преузимањима.

Зашто је Акрид опасан

Acreed комбинује фокусирано циљање крипто новчаника са широком крађом података из прегледача и порука, и користи прикривени вишестепени учитавач и неконвенционалне C2 канале како би отежао откривање. Његова способност отимања трансакција (манипулација веб страницама/QR кодовима/међуспремником) претвара украдене податке у готово тренутни финансијски губитак, што превенцију и брзо сузбијање чини неопходним. Ојачајте контроле крајњих тачака, смањите број сачуваних тајни и третирајте сваку потврђену инфекцију као инцидент високе хитности.