Acreed Stealer

Acreed คือโปรแกรมขโมยข้อมูลยุคใหม่ที่พุ่งขึ้นมาเป็นอันดับหนึ่งอย่างรวดเร็ว เนื่องจาก Acreed มุ่งเป้าไปที่ข้อมูลประจำตัว มัลแวร์ในเบราว์เซอร์ แอปส่งข้อความ และกระเป๋าเงินคริปโตเคอร์เรนซีโดยเฉพาะ การติดไวรัสเพียงครั้งเดียวที่ประสบความสำเร็จอาจนำไปสู่การขโมยข้อมูลประจำตัว การโอนคริปโตที่ถูกแฮ็ก การยึดบัญชี และการติดเชื้อที่ยังคงอยู่บนเครื่องของเหยื่อในระยะยาว ดังนั้น การปกป้องอุปกรณ์ปลายทางและพฤติกรรมของผู้ใช้จึงเป็นสิ่งสำคัญอย่างยิ่ง เมื่อข้อมูลสำคัญหลุดออกจากอุปกรณ์แล้ว มักจะไม่สามารถกู้คืนได้อย่างสมบูรณ์

Acreed มุ่งสู่สินทรัพย์ดิจิทัลที่มีมูลค่าสูง

Acreed มุ่งเน้นไปที่ข้อมูลที่มีมูลค่าทางการเงินทันทีหรือช่วยให้สามารถเข้าควบคุมบัญชีได้:

• รหัสผ่านที่บันทึก คุกกี้ และรายการกรอกอัตโนมัติจากเบราว์เซอร์ (Brave, Chrome, Edge)
• กระเป๋าเงินสกุลเงินดิจิทัลที่ใช้เบราว์เซอร์และระบบ (ทั้งกระเป๋าเงินไคลเอนต์แบบเต็มและส่วนขยาย)
• ข้อมูลบัตรเครดิตและข้อมูลแอปส่งข้อความที่อาจถูกนำไปใช้ในทางที่ผิดเพื่อการฉ้อโกงหรือทางวิศวกรรมสังคม

Acreed มุ่งมั่นค้นหาซอฟต์แวร์กระเป๋าเงินและส่วนขยายเบราว์เซอร์ที่หลากหลาย ซึ่งรวมถึง (แต่ไม่จำกัดเพียง) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink และ Trust การระบุทั้งแอปพลิเคชันที่ติดตั้งและโฟลเดอร์ส่วนขยายเบราว์เซอร์ ช่วยเพิ่มโอกาสในการค้นหาคีย์ วลีเริ่มต้น ไฟล์ JSON ส่วนตัว หรือเนื้อหากระเป๋าเงินอื่นๆ

มัลแวร์ทำงานอย่างไร

โดยทั่วไป Acreed จะถูกส่งผ่านตัวโหลด (ShadowLoader) และปฏิบัติตามโมเดลการฉีดและการรวบรวมหลายขั้นตอน:

• ShadowLoader จะดรอปไฟล์ PE สองไฟล์ที่ห่อหุ้มด้วย DLL ของ WebView2 ที่ถูกต้องตามกฎหมาย ซึ่งแรปเปอร์ที่ถูกต้องตามกฎหมายนี้จะช่วยให้ตัวโหลดหลีกเลี่ยงการตรวจจับและการตรวจสอบลายเซ็นแบบง่ายๆ
• เมื่อ Acreed ทำงานแล้ว มันจะแสดงรายการไดเรกทอรี 'ข้อมูลผู้ใช้' ของเบราว์เซอร์ (บุ๊กมาร์ก ประวัติ คุกกี้ แคช ส่วนขยาย การกรอกอัตโนมัติ และข้อมูลรับรองที่บันทึกไว้) และสแกนไฟล์กระเป๋าสตางค์และข้อมูลส่วนขยาย
• รวบรวมข้อมูลแอปส่งข้อความและไฟล์ส่วนตัวอื่น ๆ ที่อาจถูกนำไปใช้ในทางที่ผิดในการโจมตีติดตาม
• สิ่งสำคัญคือ Acreed มีความสามารถในการแฮ็กธุรกรรมได้ โดยสามารถแทนที่ที่อยู่กระเป๋าเงินที่แสดงบนหน้าเว็บ เปลี่ยนรหัส QR แทนที่เนื้อหาคลิปบอร์ด และจับที่อยู่กระเป๋าเงินที่พิมพ์หรือส่งมา ซึ่งทั้งหมดนี้มีจุดประสงค์เพื่อเบี่ยงเบนเงินไปยังกระเป๋าเงินที่ควบคุมโดยผู้โจมตี

เทคนิคการสั่งการและควบคุมที่ไม่ธรรมดา (C2)

Acreed ใช้แหล่งข้อมูลสาธารณะที่ไม่ธรรมดาสำหรับการกำหนดค่าและ C2 ซึ่งช่วยให้สามารถผสมผสานการรับส่งข้อมูลที่ถูกต้องกับสัญญาณที่เป็นอันตรายได้:

• ตัวอย่างบางส่วนดึงข้อมูล C2 จากสัญญาอัจฉริยะที่ใช้งานบน BNB Smart Chain Testnet
• ตัวอย่างอื่น ๆ ใช้โพสต์สาธารณะบนแพลตฟอร์มเช่น Steam เพื่อเข้ารหัสข้อมูลควบคุม
  เทคนิคเหล่านี้ทำให้การค้นพบ C2 มีความท้าทายมากขึ้นและทำให้กฎการตรวจจับที่มุ่งเน้นเฉพาะโดเมน C2 แบบคลาสสิกมีความซับซ้อนมากขึ้น

ผู้โจมตีที่ส่ง Acreed จะใช้ช่องทางการติดเชื้อที่หลากหลาย:
ซอฟต์แวร์ละเมิดลิขสิทธิ์และโปรแกรมติดตั้งที่แคร็ก การโฆษณาแฝงมัลแวร์ การหลอกลวงจากฝ่ายสนับสนุนด้านเทคนิค ไฟล์แนบอีเมลและลิงก์อันตราย โปรแกรมอัปเดตและดาวน์โหลดจากบุคคลที่สาม เครือข่าย P2P อุปกรณ์ USB ที่ติดไวรัส และการใช้ประโยชน์จากซอฟต์แวร์ที่ไม่ได้รับการแก้ไข ขอบเขตนี้หมายความว่าผู้ใช้อาจได้รับอันตรายจากทั้งฟิชชิ่งโดยตรงและการดาวน์โหลดที่มีความเสี่ยงในชีวิตประจำวัน

ทำไม Acreed ถึงเป็นอันตราย

Acreed ผสานรวมการกำหนดเป้าหมายกระเป๋าเงินคริปโตแบบเจาะจง เข้ากับการโจรกรรมข้อมูลผ่านเบราว์เซอร์และข้อความแบบกว้าง และใช้ตัวโหลดแบบหลายขั้นตอนที่ซ่อนเร้นและช่องทาง C2 ที่ไม่ธรรมดาเพื่อทำให้การตรวจจับมีความซับซ้อน ความสามารถในการแฮ็กธุรกรรม (การจัดการเว็บเพจ/คิวอาร์/คลิปบอร์ด) จะแปลงข้อมูลที่ถูกขโมยให้กลายเป็นความสูญเสียทางการเงินในทันที ทำให้การป้องกันและการควบคุมอย่างรวดเร็วเป็นสิ่งจำเป็น เสริมสร้างการควบคุมปลายทาง ลดความลับที่เก็บไว้ และจัดการการติดเชื้อที่ได้รับการยืนยันว่าเป็นเหตุการณ์เร่งด่วนสูง