Acreed Hırsızı
Acreed, hızla en yaygın hırsızlar arasına yükselen modern bir bilgi hırsızıdır. Özellikle kimlik bilgilerini, tarayıcı verilerini, mesajlaşma uygulamalarını ve kripto para cüzdanlarını hedef aldığı için, tek bir başarılı bulaşma, kimlik bilgisi hırsızlığına, ele geçirilmiş kripto para transferlerine, hesap ele geçirmelerine ve kurban makinede uzun süreli kalıcılığa yol açabilir. Bu nedenle uç noktaları ve kullanıcı davranışlarını korumak kritik öneme sahiptir: hassas veriler bir cihazdan ayrıldıktan sonra, tamamen kurtarılması genellikle imkansızdır.
İçindekiler
Acreed, Yüksek Değerli Dijital Varlıkların Peşinde
Acreed, anında parasal değere sahip olan veya hesap devralmayı mümkün kılan verilere odaklanıyor:
- tarayıcılardan (Brave, Chrome, Edge) kaydedilen şifreler, çerezler ve otomatik doldurma girişleri,
- tarayıcı tabanlı ve sistem kripto para cüzdanları (hem tam istemci hem de uzantı cüzdanları),
- Dolandırıcılık veya sosyal mühendislik için kötüye kullanılabilecek kredi kartı verileri ve mesajlaşma uygulaması verileri.
Acreed, ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink ve Trust dahil olmak üzere (ancak bunlarla sınırlı olmamak üzere) çok çeşitli cüzdan yazılımları ve tarayıcı uzantılarını aktif olarak arar. Hem yüklü uygulamaları hem de tarayıcı uzantısı klasörlerini sıralayarak, anahtarları, anahtar ifadelerini, özel JSON dosyalarını veya diğer cüzdan materyallerini bulma olasılığını en üst düzeye çıkarır.
Kötü Amaçlı Yazılım Nasıl Çalışır?
Acreed genellikle bir yükleyici (ShadowLoader) aracılığıyla teslim edilir ve çok aşamalı bir enjeksiyon ve toplama modelini takip eder:
- ShadowLoader, meşru bir WebView2 DLL ile sarılmış iki PE dosyasını düşürür; bu meşru sarmalayıcı, yükleyicinin basit algılama ve imza kontrollerinden kaçınmasına yardımcı olur.
- Acreed çalışmaya başladığında, tarayıcının 'Kullanıcı Verileri' dizinlerini (yer imleri, geçmiş, çerezler, önbellek, uzantılar, otomatik doldurma ve kaydedilmiş kimlik bilgileri) sıralar ve cüzdan dosyalarını ve uzantı verilerini tarar.
- Takip eden saldırılarda kötüye kullanılabilecek mesajlaşma uygulaması verilerini ve diğer kişisel dosyaları topluyor.
- Acreed, en önemlisi işlem kaçırma yeteneklerine sahiptir: web sayfalarında gösterilen cüzdan adreslerini değiştirebilir, QR kodlarını değiştirebilir, panodaki içerikleri değiştirebilir ve yazılan/gönderilen cüzdan adreslerini yakalayabilir; tüm bunlar, parayı saldırganların kontrolündeki cüzdanlara yönlendirmek için tasarlanmıştır.
Sıra Dışı Komuta ve Kontrol (C2) Teknikleri
Acreed, yapılandırma ve C2 için atipik genel kaynakları kullanır; bu da meşru trafiği kötü amaçlı sinyallerle harmanlamasına yardımcı olur:
- Bazı örnekler BNB Akıllı Zincir Testnet'inde konuşlandırılmış bir akıllı sözleşmeden C2 bilgilerini alır.
- Diğer örneklerde ise kontrol verilerini kodlamak için Steam gibi platformlardaki herkese açık gönderiler kullanılıyor.
Bu teknikler C2 keşfini daha zorlu hale getirir ve yalnızca klasik C2 alanlarına odaklanan tespit kurallarını karmaşıklaştırır.
Acreed'i dağıtan saldırganlar geniş bir enfeksiyon yolu araç setini kullanır:
Korsan yazılımlar ve kırılmış yükleyiciler, kötü amaçlı reklamlar, teknik destek dolandırıcılıkları, e-posta ekleri ve kötü amaçlı bağlantılar, üçüncü taraf güncelleyiciler ve indiriciler, P2P ağları, virüslü USB aygıtları ve yamalanmamış yazılımların kötüye kullanımı. Bu çeşitlilik, kullanıcıların hem doğrudan kimlik avı hem de günlük riskli indirmeler yoluyla riske atılabileceği anlamına geliyor.
Acreed Neden Tehlikelidir?
Acreed, kripto cüzdanlarına yönelik odaklı hedeflemeyi, geniş kapsamlı tarayıcı ve mesajlaşma verisi hırsızlığıyla birleştirir ve tespiti zorlaştırmak için gizli, çok aşamalı bir yükleyici ve alışılmadık C2 kanalları kullanır. İşlemleri ele geçirme (web sayfası/QR/pano manipülasyonu) yeteneği, çalınan verileri neredeyse anında finansal kayba dönüştürerek önleme ve hızlı kontrol altına almayı zorunlu kılar. Uç nokta kontrollerini güçlendirin, saklanan sırları azaltın ve doğrulanmış herhangi bir enfeksiyonu yüksek aciliyet gerektiren bir olay olarak ele alın.
