Akira Stealer
Akira är en skadlig programvara som stjäl information som är tillgänglig på en dedikerad webbplats, som fungerar som en Malware-as-a-Service (MaaS) under namnet "Akira Undetector". Den här webbplattformen erbjuder ett användarvänligt gränssnitt för att generera nya instanser av stealer-binären, komplett med detaljerade instruktioner om hur man använder skadlig programvara effektivt. Den använder sig av en Telegram-kanal för uppdateringar och kommando-och-kontrollfunktioner.
Denna mångsidiga skadliga programvara är skicklig på att extrahera data från webbläsare, inklusive sparade inloggningsuppgifter och betalkortsinformation. Dessutom genomför den en grundlig systemomfattande genomsökning för att samla in olika datapunkter, såsom användarnamn, systemidentifierare, hårdvaruspecifikationer, listor över installerad programvara och nätverkskonfigurationer. Den stulna informationen laddas sedan upp till hotaktörens konto på "GoFile" onlinelagringshanteringstjänst och deras Discord-konto för snabbmeddelanden.
Påträngande egenskaper observerade i Akira Stealer
Akira Stealer använder en komplex infektionsprocess med flera lager för att fördunkla dess kod och undvika upptäckt. Hotaktören utnyttjar olika plattformar för sin verksamhet, inklusive Telegram, en Command and Control-server (C2) och GitHub. Dessutom hävdar hotaktören djärvt att deras skadliga program är "Fully Undetectable" (FUD). De har en Telegram-kanal som heter 'Akira' med cirka 358 abonnenter och erbjuder sina tjänster via en Malware-as-a-Service-domän.
Forskare genomförde en analys av en Akira Stealer-fil med namnet '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Den här filen var ett CMD-skript som innehöll obfuskerad kod. Vid körning deponerade den en hidden.bat batchfil i den aktuella arbetskatalogen, som också lyckades undvika upptäckt. Denna batchfil innehöll ett obfuskerat PowerShell-skript som integrerade filen tmp.vbs för körning med csscript.exe-processen.
När det gäller datastöld, skapar den skadliga programvaran en mapp med namnet på den komprometterade datorn för att lagra den stulna informationen. Därefter initierar det dataextraktion från olika webbläsare, inklusive Microsoft Edge, Google Chrome, Opera, Mozilla Firefox och 14 andra webbläsare.
Dessutom är stjälaren skicklig i att rikta in sig på finansiell data, som omfattar sparade kreditkortsuppgifter och inloggningsuppgifter. Den samlar också in bokmärkesdata, information om plånbokstillägg, tar skärmdumpar och mycket mer.
Skadlig programvara som stjäl information kan få allvarliga konsekvenser för offer
Akira är en skadlig skadlig programvara som stjäl information som arbetar med Malware-as-a-Service (MaaS)-modellen, en särskilt farlig form av skadlig programvara som kan orsaka betydande skada på både organisationer och enskilda användare. Den sprids aktivt genom en dedikerad webbportal och använder en Telegram-kanal för distribution, samtidigt som den diskret exfiltrerar en mängd känsliga data från komprometterade system och undviker upptäckt.
Hotaktörer anpassar kontinuerligt sina tekniker för att bibehålla långvarig oupptäckbarhet, vilket gör deras illvilliga skapelse mångsidig och ger dem effektiv kontroll över infekterade system. Regelbundna uppdateringar som förmedlas via Telegram-kanalen tjänar till att ytterligare ge cyberbrottslingar möjlighet att fullfölja sina skadliga agendor.
Det mest effektiva tillvägagångssättet för att skydda mot Akira Stealer innebär att utöva vaksamhet när man hanterar misstänkta länkar och e-postbilagor. Det är absolut nödvändigt för användare att inse att även till synes pålitliga källor kan fungera som kanaler för infektion och datastöld. Att stärka system-, nätverks- och programsäkerheten kan avsevärt minska risken för infektion. Lika viktigt är användningen av uppdaterad anti-malware-programvara i kombination med adaptiva organisatoriska säkerhetspolicyer för att säkerställa robust skydd.
