Acreed Stealer

Acreed är en modern informationstjuv som snabbt har klättrat in i skaran av de mest utbredda stölderna. Eftersom den specifikt riktar in sig på inloggningsuppgifter, webbläsarartefakter, meddelandeappar och kryptovalutaplånböcker, kan en enda lyckad infektion leda till inloggningsuppgifter, kapade kryptoöverföringar, kontoövertaganden och långvarig persistens på en offermaskin. Att skydda slutpunkter och användarbeteende är därför avgörande: när känsliga data lämnar en enhet är det ofta omöjligt att helt återställa.

Acreed siktar på digitala tillgångar med högt värde

Acreed fokuserar på data som har omedelbart monetärt värde eller möjliggör kontoövertagande:

• sparade lösenord, cookies och autofyllningsposter från webbläsare (Brave, Chrome, Edge),
• webbläsarbaserade och systembaserade kryptovalutaplånböcker (både fullständiga klient- och tilläggsplånböcker),
• kreditkortsuppgifter och data från meddelandeappar som kan missbrukas för bedrägerier eller social manipulation.

Acreed letar aktivt efter ett brett utbud av plånboksprogramvara och webbläsartillägg, inklusive (men inte begränsat till) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink och Trust. Genom att räkna upp både installerade applikationer och mappar för webbläsartillägg maximerar den oddsen för att hitta nycklar, seedfraser, privata JSON-filer eller annat plånboksmaterial.

Hur skadlig programvara fungerar

Acreed levereras vanligtvis via en lastare (ShadowLoader) och följer en flerstegsmodell för injektion och uppsamling:

• ShadowLoader släpper två PE-filer som är inkapslade i en legitim WebView2 DLL – denna legitima inkapsling hjälper laddaren att undvika enkel detektering och signaturkontroller.
• När Acreed körs räknar den upp webbläsarens kataloger för "användardata" (bokmärken, historik, cookies, cache, tillägg, autofyll och sparade inloggningsuppgifter) och skannar efter plånboksfiler och tilläggsdata.
• Den samlar in data från meddelandeappar och andra personliga filer som kan missbrukas i uppföljningsattacker.
• Avgörande är att Acreed inkluderar transaktionskapningsfunktioner: den kan ersätta plånboksadresser som visas på webbsidor, ändra QR-koder, ersätta urklippsinnehåll och fånga in inskrivna/inskickade plånboksadresser – allt avsett att omdirigera pengar till angriparkontrollerade plånböcker.

Ovanliga kommando- och kontrolltekniker (C2)

Acreed använder atypiska publika källor för konfiguration och C2, vilket hjälper dem att blanda legitim trafik med skadliga signaler:

• Vissa exempel hämtar C2-information från ett smart kontrakt som distribuerats på BNB Smart Chain Testnet.
• Andra exempel använder offentliga inlägg på plattformar som Steam för att koda kontrolldata.
  Dessa tekniker gör C2-upptäckten mer utmanande och komplicerar detektionsregler som endast fokuserar på klassiska C2-domäner.

Angripare som levererar Acreed använder en bred verktygslåda med infektionsvägar:
piratkopierad programvara och spruckna installationsprogram, skadlig annonsering, bedrägerier från teknisk support, e-postbilagor och skadliga länkar, tredjepartsuppdateringar och nedladdningar, P2P-nätverk, infekterade USB-enheter och utnyttjande av opatchad programvara. Denna bredd innebär att användare kan exponeras genom både direkt nätfiske och vardagliga riskfyllda nedladdningar.

Varför Acreed är farligt

Acreed kombinerar fokuserad inriktning på kryptoplånböcker med bred stöld av webbläsar- och meddelandedata, och använder en smygande flerstegsladdare och okonventionella C2-kanaler för att komplicera upptäckten. Dess förmåga att kapa transaktioner (manipulation av webbsidor/QR/urklipp) omvandlar stulen data till nästan omedelbar ekonomisk förlust, vilket gör förebyggande och snabb inneslutning avgörande. Stärk endpoint-kontrollerna, minska lagrade hemligheter och behandla alla bekräftade infektioner som en högbrådskande incident.