Викрадач Акріда
Acreed — це сучасний викрадач інформації, який швидко став одним із найпоширеніших викрадачів. Оскільки він цілеспрямовано націлений на облікові дані, артефакти браузера, месенджери та криптовалютні гаманці, одне успішне зараження може призвести до крадіжки облікових даних, викрадених криптовалютних переказів, захоплення облікових записів та їх тривалого зберігання на комп’ютері жертви. Тому захист кінцевих точок та поведінки користувачів є критично важливим: після того, як конфіденційні дані залишають пристрій, їх часто неможливо повністю відновити.
Зміст
Acreed переслідує високоцінні цифрові активи
Acred зосереджується на даних, які мають негайну грошову цінність або дозволяють захопити обліковий запис:
- збережені паролі, файли cookie та записи автозаповнення з браузерів (Brave, Chrome, Edge),
- браузерні та системні криптовалютні гаманці (як повноцінні клієнтські, так і розширені гаманці),
- дані кредитних карток та дані додатків для обміну повідомленнями, які можуть бути використані для шахрайства або соціальної інженерії.
Acreed активно шукає широкий спектр програмного забезпечення для гаманців та розширень для браузера, включаючи (але не обмежуючись) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink та Trust. Перераховуючи як встановлені програми, так і папки розширень браузера, він максимізує ймовірність знаходження ключів, основоположних фраз, приватних JSON-файлів або інших матеріалів гаманця.
Як працює шкідливе програмне забезпечення
Acreed зазвичай доставляється через завантажувач (ShadowLoader) та дотримується багатоетапної моделі введення та збору:
- ShadowLoader скидає два PE-файли, обгорнуті легітимною DLL-бібліотекою WebView2 — ця легітимна обгортка допомагає завантажувачу уникнути простих перевірок виявлення та підписів.
- Після запуску Acreed перераховує каталоги «Дані користувача» браузера (закладки, історія, файли cookie, кеш, розширення, автозаповнення та збережені облікові дані) та сканує файли гаманців і дані розширень.
- Він збирає дані месенджерів та інші особисті файли, які можуть бути використані в подальших атаках.
- Найголовніше, що Acreed включає можливості викрадення транзакцій: він може замінювати адреси гаманців, що відображаються на веб-сторінках, змінювати QR-коди, замінювати вміст буфера обміну та захоплювати введені/надіслані адреси гаманців — все це призначено для перенаправлення коштів на гаманці, контрольовані зловмисником.
Незвичайні методи командування та управління (C2)
Acreed використовує нетипові публічні джерела для конфігурації та C2, що допомагає йому поєднувати легітимний трафік зі шкідливими сигналами:
- Деякі зразки отримують інформацію C2 зі смарт-контракту, розгорнутого в тестовій мережі BNB Smart Chain.
- Інші зразки використовують публічні публікації на таких платформах, як Steam, для кодування керуючих даних.
Ці методи ускладнюють виявлення C2 та правила виявлення, які зосереджені лише на класичних доменах C2.
Зловмисники, що розповсюджують Acreed, використовують широкий набір шляхів зараження:
піратське програмне забезпечення та зламовані інсталятори, шкідлива реклама, шахрайство з боку технічної підтримки, вкладення електронної пошти та шкідливі посилання, сторонні програми оновлення та завантаження, P2P-мережі, заражені USB-пристрої та використання непатченого програмного забезпечення. Така широта охоплення означає, що користувачі можуть бути вразливі як через прямий фішинг, так і через щоденні ризиковані завантаження.
Чому Акрід небезпечний
Acreed поєднує цілеспрямоване таргетування криптогаманців із широким викраденням даних браузера та месенджерів, а також використовує прихований багатоетапний завантажувач і нетрадиційні канали C2 для ускладнення виявлення. Його здатність захоплювати транзакції (маніпуляції з веб-сторінками/QR-кодами/буфером обміну) перетворює викрадені дані на майже негайні фінансові втрати, що робить профілактику та швидке стримування важливими. Посиліть контроль кінцевих точок, зменште кількість збережених секретів і розглядайте будь-яке підтверджене зараження як інцидент високої терміновості.
