Kẻ đánh cắp Acreed
Acreed là một phần mềm đánh cắp thông tin hiện đại, đang nhanh chóng vươn lên hàng ngũ những kẻ đánh cắp thông tin phổ biến nhất. Vì nó đặc biệt nhắm vào thông tin đăng nhập, dữ liệu trình duyệt, ứng dụng nhắn tin và ví tiền điện tử, nên chỉ cần một lần lây nhiễm thành công cũng có thể dẫn đến việc đánh cắp thông tin đăng nhập, chuyển tiền điện tử bị chiếm đoạt, chiếm đoạt tài khoản và tồn tại lâu dài trên máy nạn nhân. Do đó, việc bảo vệ các điểm cuối và hành vi người dùng là rất quan trọng: một khi dữ liệu nhạy cảm đã rời khỏi thiết bị, thường không thể khôi phục hoàn toàn.
Mục lục
Acreed theo đuổi các tài sản kỹ thuật số có giá trị cao
Acreed tập trung vào dữ liệu có giá trị tiền tệ ngay lập tức hoặc cho phép tiếp quản tài khoản:
- mật khẩu đã lưu, cookie và mục nhập tự động điền từ trình duyệt (Brave, Chrome, Edge),
- ví tiền điện tử dựa trên trình duyệt và hệ thống (cả ví máy khách đầy đủ và ví mở rộng),
- dữ liệu thẻ tín dụng và dữ liệu ứng dụng nhắn tin có thể bị lạm dụng để gian lận hoặc tấn công xã hội.
Acreed tích cực tìm kiếm nhiều phần mềm ví và tiện ích mở rộng trình duyệt, bao gồm (nhưng không giới hạn ở) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink và Trust. Bằng cách liệt kê cả các ứng dụng đã cài đặt và thư mục tiện ích mở rộng trình duyệt, Acreed tối đa hóa khả năng tìm thấy khóa, cụm từ hạt giống, tệp JSON riêng tư hoặc các tài liệu ví khác.
Phần mềm độc hại hoạt động như thế nào
Acreed thường được cung cấp thông qua bộ nạp (ShadowLoader) và tuân theo mô hình tiêm và thu thập nhiều giai đoạn:
- ShadowLoader loại bỏ hai tệp PE được bọc bằng DLL WebView2 hợp pháp—lớp bọc hợp pháp này giúp trình tải tránh được các biện pháp phát hiện và kiểm tra chữ ký đơn giản.
- Khi Acreed chạy, nó sẽ liệt kê các thư mục 'Dữ liệu người dùng' của trình duyệt (dấu trang, lịch sử, cookie, bộ nhớ đệm, tiện ích mở rộng, tự động điền và thông tin đăng nhập đã lưu) và quét các tệp ví và dữ liệu tiện ích mở rộng.
- Nó thu thập dữ liệu ứng dụng nhắn tin và các tệp cá nhân khác có thể bị lạm dụng trong các cuộc tấn công tiếp theo.
- Quan trọng hơn, Acreed bao gồm khả năng chiếm đoạt giao dịch: nó có thể thay thế địa chỉ ví hiển thị trên trang web, thay đổi mã QR, thay thế nội dung bảng tạm và thu thập địa chỉ ví đã nhập/gửi — tất cả đều nhằm mục đích chuyển tiền vào ví do kẻ tấn công kiểm soát.
Kỹ thuật chỉ huy và kiểm soát (C2) bất thường
Acreed sử dụng các nguồn công khai không điển hình để cấu hình và C2, giúp trộn lẫn lưu lượng hợp pháp với các tín hiệu độc hại:
- Một số mẫu lấy thông tin C2 từ hợp đồng thông minh được triển khai trên Mạng thử nghiệm BNB Smart Chain.
- Các mẫu khác sử dụng bài đăng công khai trên các nền tảng như Steam để mã hóa dữ liệu kiểm soát.
Những kỹ thuật này khiến việc phát hiện C2 trở nên khó khăn hơn và làm phức tạp các quy tắc phát hiện chỉ tập trung vào miền C2 cổ điển.
Những kẻ tấn công phân phối Acreed sử dụng một bộ công cụ lây nhiễm rộng rãi:
Phần mềm lậu và trình cài đặt bị bẻ khóa, quảng cáo độc hại, lừa đảo hỗ trợ kỹ thuật, tệp đính kèm email và liên kết độc hại, trình cập nhật và tải xuống của bên thứ ba, mạng ngang hàng (P2P), thiết bị USB bị nhiễm độc và khai thác phần mềm chưa được vá. Điều này đồng nghĩa với việc người dùng có thể bị phơi nhiễm thông qua cả lừa đảo trực tiếp và các hoạt động tải xuống rủi ro hàng ngày.
Tại sao Acreed lại nguy hiểm
Acreed kết hợp việc nhắm mục tiêu tập trung vào ví tiền điện tử với việc đánh cắp dữ liệu trình duyệt và tin nhắn trên diện rộng, đồng thời sử dụng trình tải nhiều giai đoạn bí mật và các kênh C2 (Center-to-Center) phi truyền thống để làm phức tạp việc phát hiện. Khả năng chiếm đoạt giao dịch (thao túng trang web/QR/clipboard) của Acreed biến dữ liệu bị đánh cắp thành tổn thất tài chính gần như ngay lập tức, khiến việc phòng ngừa và ngăn chặn nhanh chóng trở nên vô cùng quan trọng. Acreed tăng cường kiểm soát điểm cuối, giảm thiểu việc lưu trữ bí mật và coi bất kỳ trường hợp lây nhiễm nào được xác nhận là sự cố cấp bách.
