Akira Hırsızı
Akira, özel bir web sitesinde bulunan ve 'Akira Undetector' adı altında Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak çalışan, bilgi çalan bir kötü amaçlı yazılımdır. Bu web platformu, kötü amaçlı yazılımın etkili bir şekilde nasıl kullanılacağına ilişkin ayrıntılı talimatlarla birlikte, hırsız ikilisinin yeni örneklerini oluşturmak için kullanıcı dostu bir arayüz sunar. Güncellemeler ve komuta ve kontrol yetenekleri için bir Telegram kanalından yararlanır.
Bu çok yönlü kötü amaçlı yazılım, kayıtlı oturum açma kimlik bilgileri ve ödeme kartı bilgileri de dahil olmak üzere web tarayıcılarından veri ayıklama konusunda uzmandır. Ayrıca kullanıcı adları, sistem tanımlayıcıları, donanım özellikleri, yüklü yazılım listeleri ve ağ yapılandırmaları gibi çeşitli veri noktalarını toplamak için sistem çapında kapsamlı bir tarama gerçekleştirir. Çalınan bilgiler daha sonra tehdit aktörünün 'GoFile' çevrimiçi depolama yönetimi hizmetindeki hesabına ve Discord anlık mesajlaşma hesabına yükleniyor.
Akira Stealer'da Gözlemlenen Müdahaleci Yetenekler
Akira Stealer, kodunu gizlemek ve tespit edilmekten kaçınmak için çok katmanlı karmaşık bir enfeksiyon süreci kullanıyor. Tehdit aktörü, operasyonları için Telegram, Komuta ve Kontrol (C2) sunucusu ve GitHub dahil olmak üzere çeşitli platformlardan yararlanıyor. Üstelik tehdit aktörü, cesurca kötü amaçlı yazılımlarının 'Tamamen Tespit Edilemez' (FUD) olduğunu iddia ediyor. Yaklaşık 358 aboneye sahip 'Akira' adlı bir Telegram kanalına sahipler ve hizmetlerini Hizmet Olarak Kötü Amaçlı Yazılım alanı aracılığıyla sunuyorlar.
Araştırmacılar '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd' adlı Akira Stealer dosyasının analizini gerçekleştirdi. Bu dosya, karmaşık kod içeren bir CMD betiğiydi. Yürütme sonrasında, geçerli çalışma dizinine bir Hidden.bat toplu iş dosyası bıraktı ve bu da tespitten kaçmayı başardı. Bu toplu iş dosyası, csscript.exe işlemini kullanarak tmp.vbs dosyasını yürütmek üzere entegre eden, gizlenmiş bir PowerShell betiği içeriyordu.
Veri hırsızlığı açısından, kötü amaçlı yazılım, çalınan bilgileri depolamak için ele geçirilen bilgisayarın adını taşıyan bir klasör oluşturur. Daha sonra Microsoft Edge, Google Chrome, Opera, Mozilla Firefox ve diğer 14 tarayıcı dahil olmak üzere çeşitli web tarayıcılarından veri çıkarmayı başlatır.
Ayrıca hırsız, kayıtlı kredi kartı ayrıntıları ve oturum açma kimlik bilgileri dahil olmak üzere finansal verileri hedefleme konusunda da uzmandır. Ayrıca yer imi verilerini, cüzdan uzantısı bilgilerini toplar, ekran görüntüleri yakalar ve çok daha fazlasını yapar.
Bilgi Çalan Kötü Amaçlı Yazılımlar Kurbanlar İçin Ciddi Sonuçlara Yol Açabilir
Akira, hem kuruluşlara hem de bireysel kullanıcılara önemli zararlar verebilecek, özellikle tehlikeli bir kötü amaçlı yazılım türü olan Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modelinde çalışan, kötü amaçlı, bilgi çalan bir kötü amaçlı yazılımdır. Özel bir web portalı aracılığıyla aktif olarak yayılıyor ve dağıtım için bir Telegram kanalı kullanıyor; bu arada, tehlikeye atılmış sistemlerden çok sayıda hassas veriyi gizlice sızdırıyor ve tespit edilmekten kaçınıyor.
Tehdit aktörleri, uzun vadeli tespit edilemezliği korumak için tekniklerini sürekli olarak uyarlıyor, kötü niyetli yaratımlarını çok yönlü hale getiriyor ve onlara virüslü sistemler üzerinde etkili kontrol sağlıyor. Telegram kanalı aracılığıyla iletilen düzenli güncellemeler, siber suçluların kötü niyetli amaçlarını takip etmelerini daha da güçlendirmeye hizmet ediyor.
Akira Hırsızına karşı korunmanın en etkili yaklaşımı, şüpheli bağlantılar ve e-posta ekleriyle uğraşırken dikkatli olmaktır. Kullanıcıların, görünüşte güvenilir kaynakların bile enfeksiyon ve veri hırsızlığı için kanal görevi görebileceğini fark etmesi zorunludur. Sistem, ağ ve uygulama güvenliğinin güçlendirilmesi enfeksiyon riskini önemli ölçüde azaltabilir. Sağlam koruma sağlamak için uyarlanabilir kurumsal güvenlik politikalarıyla birlikte güncel kötü amaçlı yazılımdan koruma yazılımının kullanılması da aynı derecede hayati öneme sahiptir.
